dfasdfa

NTLM Relay napadi su tip cyber napada koji iskorištavaju ranjivosti u NTLM (NT LAN Manager) autentikacijskom protokolu. Ti napadi često koriste MITM (Man-in-the-middle) tehnike napada u kojima se napadač ubacuje u komunikaciju između klijenta i servera kao posrednik, što mu omogućuje da prosljeđivanjem poruka za uspostavu autentikacije podigne svoja vlastita prava i pristup sustavu kao autenticirani korisnik. PetitPotam je specifičan NTLM Relay napad koji omogućava napadaču da preuzme domenski kontroler što mu daje kontrolu nad cijelom Windows domenom. PetitPotam ne ovisi o MS-RPRN API-ju kojeg su koristili prijašnji NTLM napadi, već koristi EfsRpcOpenFileRaw funkciju MS-EFSRPC API-ja što ga je činilo trenutno opasnijim jer je zaobilazio sigurnosne mjere koje su organizacije implementirale za uobičajene napade, poimence onemogućavanje MS-RPRN API-ja. U međuvremenu ova ranjivost je oslabljena sigurnosnim ažuriranjem, jer su pokrpani razni vektori napada, no to ne znači da je opasnost u potpunosti otklonjena. Pošto opasnost od PetitPotam napada i danas postoji u manjoj količini sigurnosni timovi su i dalje obazrivi prema ovoj tehnici te proučavaju i implementiraju metode obrane od ovih napada. U nastavku rada opisati će se općeniti NTLM relay napadi, postupak PetitPotam napada te mogući koraci koji se mogu poduzeti kako bi se ovi napadi spriječili te kako bi se njihov rizik mogao mitigirati.

NT LAN Manager je agregacija sigurnosnih protokola u Windows mrežama koji se koriste za autentikaciju, integritet i povjerljivost korisnika. Napadi koji iskorištavaju ranjivosti ovih protokola su dugotrajno poznate prijetnje u mnogim organizacijskim okolinama. NTLM protokol funkcionira razmjenom “challenge”-“response” poruka između korisnika i servera. U NTLM Relay napadu, napadač presreće ove poruke te ih prosljeđuje drugom serveru na mreži te na taj način dobiva pristup mreži kao autenticirani korisnik. Mnoštvo je načina na koji se NTLM napadi mogu pokrenuti, kao na primjer “Pass-the-Hash” napad u kojemu napadač prosljeđuje hash vrijednost korisnika te nju koristi za autentikaciju na drugim serverima u mreži. No najčešća metoda je takozvani “Man-in-the-middle” napad u kojemu napadač presreće poruke između korisnika i servera te se na taj način autenticira u mreži. Slika 1. prikazuje uobičajeni princip rada ovakvog napada.

Slika 1: Princip rada NTLM Relay napada izvor

Kako bi NTLM relay napad bio uspješan napadač mora uspješno proslijediti sve tri NTLM poruke (“NEGOTIATE”, “CHALLENGE” i “AUTH”).

Bitna značajka mnogih NTLM posredničkih napada je to što napadač ne može započeti interakciju bez aktivnog sudjelovanja od strane korisnika. Korisnik mora započeti interakciju kako bi napadač mogao posredovanjem uspostaviti uspješnu autentikaciju. Kako bi potaknuo korisnika da započne autentikaciju napadač može koristiti razne metode. Prije pojave PetitPotam napada najčešća metoda bila je korištenje MS-RPRN API-ja kako bi se postigao početak komunikacije, no kao odgovor velika količina organizacija je počela onemogućavati tu funkcionalnost da bi spriječili ovaj vektor napada. PetitPotam, za razliku od tih prijašnjih metoda, koristi drugačiji API, MS-EFSRPC. Oba API-ja su u standardnim postavkama omogućena što predstavlja rizik za organizacije koje ne predviđaju ovaj tip napada. Slika 2. prikazuje princip korištenja EfsRpcOpenFileRaw funkcije kako bi se započela NTLM autentikacija.

Slika 2: Princip rada PetitPotam napada izvor

U PetitPotam napadu klijent se autenticira prema NTLM-u, no pošto je napadač posrednik on presreta i dobiva pristup hashiranim lozinkama za NTLM autentikaciju. Koristeći te hash-eve napadač može eskalirati svoju razinu kontrole te proslijediti hashirane lozinke Active Directory Certificate Servisu kako bi doboio Domain Controller certifikat, što im daje pristup domenskim servisima. Upravljanje domenskim servisima daje napadaču veliku razinu kontrole te je veliki sigurnosni rizik sa potencijalom za ogromne štete organizaciji.

Postupak PetitPotam napada može se podijeliti na nekoliko ključnih koraka:

1. Pokušaj autentikacije prema serveru sa kredencijalima koje napadač već posjeduje korištenjem NTLM protokola
2. Prisiljavanje servera da započne NTLM autentikacije prema nekom korisniku, koristeći MS-EFSRPC API naredbu EfsRpcOpenFileRaw
3. Izvršavanje NTLM napada prema slici 2, dobivanje hash vrijednosti lozinka koje se mogu koristiti za pristupanje nekom drugom serveru sa višim privilegijama
4. Generiranje certifikata korištenje AD Certificate servisa, npr. domenskog certifikata, koji napadaču daje administratorske privilegije na značajnom serveru.

Ukoliko napadač uspješno provede napad te dobije pristup domenskom serveru on može preuzeti cijelu mrežu, što je naravno znatni negativni utjecaj ovog napada. Slika 3. prikazuje princip dobivanja certifikata korištenjem PetitPotam napada.

Slika 3: PetitPotam iznuda certifikata izvor

U vremenu od kada se pojavio ovaj način napada 18.6.2021 Microsoft je objavio nekolicinu sigurnosnih ažuriranja koje uklanjaju neke od vektora ovog napada. Dodatni koraci koje sigurnosno orijentirane organizacije mogu poduzeti uključuju korištenje Kerberos metode autentikacije umjesto NTLM, kao i potpuno onemogućavanje NTLM autentikacije. U slučaju da je NTLM autentikacija neophodna mogu se koristiti dodatne provjere kao što su SMB potpisivanje, Extended Protection for Authentication (EPA) ili dodavanje iznimaka za NTLM autentikaciju.

Migracija sa NTLM metode na Kerberos metodu se pokazala kao najefikasnija, ali ona naravno nije uvijek lako primjenjiva stoga se rizik može mitigirati unaprijed spomenutim metodama kao i redovitim sigurnosnim ažuriranjima i, naravno, slušanjem savjeta sigurnosnih stručnjaka.

Konačno, uvijek se mogu razmotriti mogućnosti aktivnog nadzora, Security Operation Center (SOC), koji mogu stalnim nadzorom pratiti poznate indikatore PetitPotam napada kao što su korištenje MS-RPRN API-ja i pokretanje EfsRpcOpenFileRaw naredbe.