Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:seminari:petitpotam_-_ntlm_relay_napadi [2023/01/13 12:00] ld50354 [NTLM Relay Napadi] |
racfor_wiki:seminari:petitpotam_-_ntlm_relay_napadi [2024/12/05 12:24] (trenutno) |
||
|---|---|---|---|
| Redak 2: | Redak 2: | ||
| NTLM Relay napadi vječiti su problem u Windows komunikacijskim mrežama te se tehnike ovih napada neprestano razvijaju i poboljšavaju. Kako bi osigurali sve potencijalne vektore napada mreža potrebno je ostati korak ispred napadača i aktivno tražiti te uklanjati ranjivosti vezane uz NTLM autentikacije. Francuski sigurnosni istraživač Gilles Lionel, poznat kao Topotam, razvio je novu tehniku NTLM napada pod nazivom " | NTLM Relay napadi vječiti su problem u Windows komunikacijskim mrežama te se tehnike ovih napada neprestano razvijaju i poboljšavaju. Kako bi osigurali sve potencijalne vektore napada mreža potrebno je ostati korak ispred napadača i aktivno tražiti te uklanjati ranjivosti vezane uz NTLM autentikacije. Francuski sigurnosni istraživač Gilles Lionel, poznat kao Topotam, razvio je novu tehniku NTLM napada pod nazivom " | ||
| - | Ključne riječi: NTLM, NTLM Relay Attacks, PetitPotam, MS-RPRN API, EfsRpcOpenFileRaw | + | Ključne riječi: NTLM, NTLM Relay Attacks, PetitPotam, MS-RPRN |
| Redak 20: | Redak 20: | ||
| ====== PetitPotam Napad ====== | ====== PetitPotam Napad ====== | ||
| Bitna značajka mnogih NTLM posredničkih napada je to što napadač ne može započeti interakciju bez aktivnog sudjelovanja od strane korisnika. Korisnik mora započeti interakciju kako bi napadač mogao posredovanjem uspostaviti uspješnu autentikaciju. Kako bi potaknuo korisnika da započne autentikaciju napadač može koristiti razne metode. Prije pojave PetitPotam napada najčešća metoda bila je korištenje MS-RPRN API-ja kako bi se postigao početak komunikacije, | Bitna značajka mnogih NTLM posredničkih napada je to što napadač ne može započeti interakciju bez aktivnog sudjelovanja od strane korisnika. Korisnik mora započeti interakciju kako bi napadač mogao posredovanjem uspostaviti uspješnu autentikaciju. Kako bi potaknuo korisnika da započne autentikaciju napadač može koristiti razne metode. Prije pojave PetitPotam napada najčešća metoda bila je korištenje MS-RPRN API-ja kako bi se postigao početak komunikacije, | ||
| + | |||
| + | {{ : | ||
| **Slika 2:** Princip rada PetitPotam napada | **Slika 2:** Princip rada PetitPotam napada | ||
| Redak 35: | Redak 37: | ||
| Ako napadač uspješno provede napad te dobije pristup domenskom serveru on može preuzeti cijelu mrežu, što je naravno znatni negativni utjecaj ovog napada. Slika 3. prikazuje princip dobivanja certifikata korištenjem PetitPotam napada. | Ako napadač uspješno provede napad te dobije pristup domenskom serveru on može preuzeti cijelu mrežu, što je naravno znatni negativni utjecaj ovog napada. Slika 3. prikazuje princip dobivanja certifikata korištenjem PetitPotam napada. | ||
| + | |||
| + | {{ : | ||
| **Slika 3:** PetitPotam iznuda certifikata | **Slika 3:** PetitPotam iznuda certifikata | ||
| Redak 48: | Redak 52: | ||
| ====== Zaključak ====== | ====== Zaključak ====== | ||
| Opasnost od NTLM Relay napada je oduvijek bila značajka Windows mreža te su se s vremenom razvile mnoge metode zaštite. Zbog znatne potencijalne štete koju PetitPotam napadi mogu uzrokovati radi velike razine privilegija koje napadači sebi mogu dodijeliti zaštita od ovakvih napada je od iznimne važnosti. Ovaj MITM napad često se može spriječiti raznim dodatnim autentikacijskim metoda, migriranjem na sigurnije sigurnosne protokole ili jednostavno redovitim sigurnosnim ažuriranjem. Unatoč tome što su u novije vrijeme ranjivosti vezane uz ovaj tip napada u velikom broju otklonjene i dalje je bitno educirati se o ovakvim tehnikama te poduzeti korake kako bi se zaštitili od malicioznih pokušaja preuzimanja kontrole nad organizacijskim mrežama. | Opasnost od NTLM Relay napada je oduvijek bila značajka Windows mreža te su se s vremenom razvile mnoge metode zaštite. Zbog znatne potencijalne štete koju PetitPotam napadi mogu uzrokovati radi velike razine privilegija koje napadači sebi mogu dodijeliti zaštita od ovakvih napada je od iznimne važnosti. Ovaj MITM napad često se može spriječiti raznim dodatnim autentikacijskim metoda, migriranjem na sigurnije sigurnosne protokole ili jednostavno redovitim sigurnosnim ažuriranjem. Unatoč tome što su u novije vrijeme ranjivosti vezane uz ovaj tip napada u velikom broju otklonjene i dalje je bitno educirati se o ovakvim tehnikama te poduzeti korake kako bi se zaštitili od malicioznih pokušaja preuzimanja kontrole nad organizacijskim mrežama. | ||
| + | |||
| + | Prezentacija seminara: https:// | ||
| ====== Literatura ====== | ====== Literatura ====== | ||