dfasdfa

NTLM Relay napadi su tip cyber napada koji iskorištavaju ranjivosti u NTLM (NT LAN Manager) autentikacijskom protokolu. Ti napadi često koriste MITM (Man-in-the-middle) tehnike napada u kojima se napadač ubacuje u komunikaciju između klijenta i servera kao posrednik, što mu omogućuje da prosljeđivanjem poruka za uspostavu autentikacije podigne svoja vlastita prava i pristup sustavu kao autenticirani korisnik. PetitPotam je specifičan NTLM Relay napad koji omogućava napadaču da preuzme domenski kontroler što mu daje kontrolu nad cijelom Windows domenom. PetitPotam ne ovisi o MS-RPRN API-ju kojeg su koristili prijašnji NTLM napadi, već koristi EfsRpcOpenFileRaw funkciju MS-EFSRPC API-ja što ga je činilo trenutno opasnijim jer je zaobilazio sigurnosne mjere koje su organizacije implementirale za uobičajene napade, poimence onemogućavanje MS-RPRN API-ja. U međuvremenu ova ranjivost je oslabljena sigurnosnim ažuriranjem, jer su pokrpani razni vektori napada, no to ne znači da je opasnost u potpunosti otklonjena. Pošto opasnost od PetitPotam napada i danas postoji u manjoj količini sigurnosni timovi su i dalje obazrivi prema ovoj tehnici te proučavaju i implementiraju metode obrane od ovih napada. U nastavku rada opisati će se općeniti NTLM relay napadi, postupak PetitPotam napada te mogući koraci koji se mogu poduzeti kako bi se ovi napadi spriječili te kako bi se njihov rizik mogao mitigirati.

NT LAN Manager je agregacija sigurnosnih protokola u Windows mrežama koji se koriste za autentikaciju, integritet i povjerljivost korisnika. Napadi koji iskorištavaju ranjivosti ovih protokola su dugotrajno poznate prijetnje u mnogim organizacijskim okolinama. NTLM protokol funkcionira razmjenom “challenge”-“response” poruka između korisnika i servera. U NTLM Relay napadu, napadač presreće ove poruke te ih prosljeđuje drugom serveru na mreži te na taj način dobiva pristup mreži kao autenticirani korisnik. Mnoštvo je načina na koji se NTLM napadi mogu pokrenuti, kao na primjer “Pass-the-Hash” napad u kojemu napadač prosljeđuje hash vrijednost korisnika te nju koristi za autentikaciju na drugim serverima u mreži. No najčešća metoda je takozvani “Man-in-the-middle” napad u kojemu napadač presreće poruke između korisnika i servera te se na taj način autenticira u mreži. Slika 1 prikazuje uobičajeni princip rada ovakvog napada.

Slika 1: Princip rada NTLM Relay napada izvor

Kako bi NTLM relay napad bio uspješan napadač mora uspješno proslijediti sve tri NTLM poruke (“NEGOTIATE”, “CHALLENGE” i “AUTH”).