Как стать автором
Обновить

Комментарии 4

Спасибо за качественную статью, и добро пожаловать на Хабр!

Надеюсь, продолжите в том же духе.

В последнее время понятие "корпоративный блог" стало почти синонимом низкопробного кликбейта. Вдруг у вас получится это изменить?

Спасибо! Будем стараться!

Интересно, как не дать контроллеру домена отсылать что-то в ответ на EfsRpcOpenFileRaw, иначе можно половину проблем обойти, аутентифицируясь как контроллер домена с использованием полученного NTLM hash. По крайней мере, такая мера позволит атакующему достать хотя бы до всего AD в режиме чтения, собрать учетные записи и тому подобное, и потом нацеливать атаку на уязвимые компы или пользователей.


Апд: нашел один из методов тут https://www.bleepingcomputer.com/news/microsoft/windows-petitpotam-attacks-can-be-blocked-using-new-method/ Суть: создаются RPC фильтры, блокирующие на стороне сервера запрос на EfsRpcOpenFileRaw. Тупо, но по идее лучшее из возможных, так как по утверждению в статье по ссылке, EFS при этом продолжает работать.

О мерах предосторожности, рекомендованных компанией Microsoft, можно прочитать по ссылке: support.microsoft.com/en-gb/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

Да, в статье MS KB, посвященной этой атаке, оказалось написано ровно то, что я и ожидал: включение в IIS на AD CS Extended Protection for Authentication (привязки аутентификационных данных NTLM к сессии SSL/TLS, технологии защиты, которая существует уже более 10 лет) блокирует атаку PetitPotam. То есть, конфигурируйте свой CA безопасно — и спите спокойно, враг не пройдет.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий