به گزارش ایمناو به نقل از روابط عمومی مرکز مدیریت راهبردی افتا، مهاجمان سایبری با اجرای حملاتی معروف به NTLM Relay ، کنترل Domain Controller (کنترل کننده دامنه) و کل دامنه شبکه را در اختیار میگیرد.
مهاجمان پس از کنترل Domain Controller و در اختیار گرفتن کل دامنه شبکه، هر فرمان دلخواه خود را در سطح دامنه به اجرا در میآورند.
محققی که این تکنیک مهاجمان سایبری را کشف کرده و نام آن را PetitPotam گذاشته، معتقد است که این مسئله را نمیتوان بهعنوان یک آسیبپذیری در نظر گرفت بلکه بهنوعی سو استفاده از یک تابع معتبر است.
این تابع معتبر که بهصورت مخفف MS-EFSRPC نامیده میشود برای انجام عملیات نگهداری و مدیریت دادههای رمزگذاری شدهای استفاده میشود که بهصورت از راه دور در بستر شبکه ذخیره و فراخوانی میشود.
این محقق امنیتی اهل فرانسه، اظهار کرد: تکنیک ممکن است در حملات دیگر سایبری نیز استفاده شود.
محقق کاشف PetitPotam که معتقد است تنها راه مقابله با این حملات، غیرفعالکردن تأیید اصالتسنجی NTLM یا فعالکردن محافظتهایی همچون امضاهای SMB و LDAP و همچنینChannel Binding در ویندوز است، در عین حال گفت: متوقف کردن سرویس EFS نیز مانع سو استفاده از این تکنیک مهاجمان سایبری نمیشود.
نظر شما