Phát hiện PetitPotam – phương pháp hack mới chưa có cách ngăn chặn trong thực tế

www.tuoitre.vn -   20/07/2021 12:00:00 572

Mới đây, nhà nghiên cứu bảo mật người Pháp Gilles Lionel, hay còn được biết đến với biệt danh Topotam, đã tiết lộ một kỹ thuật tấn công mới mang tên PetitPotam. Đây là một kiểu tấn công chuyển tiếp NTLM không phụ thuộc vào API MS-RPRN mà sử dụng chức năng EfsRpcOpenFileRaw của API MS-EFSRPC.

Phát hiện PetitPotam – phương pháp hack mới chưa có cách ngăn chặn trong thực tế

MS-EFSRPC là Giao thức Mã hóa Tệp Hệ thống Từ xa của Microsoft, thường được dùng để thực hiện các hoạt động bảo trì và quản lý dữ liệu mã hóa được lưu trữ từ xa và được truy cập qua mạng.

Theo Lionel, đây không phải là một lỗ hổng mà là sự lạm dụng một tính năng hợp pháp của hệ thống. PetitPotam không chỉ cho phép hacker kiểm soát toàn bộ Windows domain mà còn dẫn tới những cuộc tấn công khác, Lionel chia sẻ.

Ngay sau khi Lionel công bố nghiên cứu của mình trên GitHub, nhiều chuyên gia bảo mật khác đã bắt tay vào thử nghiệm. Nhà nghiên cứu bảo mật Remi Escourrou xác nhận có thể dùng PetitPotam để kiểm soát toàn bộ Active Directory. Ngoài ra, ông còn cho biết thêm rằng thực tế không có cách nào để chặn được PetitPotam.

PetitPotam ảnh hưởng tới Windows Server 2008 đến 2019. Theo Microsoft, chưa có dấu hiệu nào cho thấy kỹ thuật tấn công PetitPotam được hacker sử dụng.

Phát hiện PetitPotam – phương pháp hack mới chưa có cách ngăn chặn trong thực tế

Microsoft chia sẻ cách khắc phục PetitPotam

Trong một tuyên bố vừa được đưa ra, Microsoft thừa nhận rằng các tổ chức có thể bị tấn công bởi PetitPotam. Hiện tại, Microsoft vẫn chưa tung ra bản vá nhưng hãng này khuyên các tổ chức nên thực hiện các biện pháp sau để giảm thiểu thiệt hại do PetitPotam gây ra:

- Vô hiệu hóa NTLM ở những nơi mà nó không cần thiết (ví dụ Domain Controller)

- Kích hoạt cơ chế Extended Protection for Authentication để bảo vệ thông tin đăng nhập trên máy tính Windows

Tuy nhiên, PetitPotam tấn công bằng cách lạm dụng chức năng EfsRpcOpenFileRaw của API MS-EFSRPC để chuyển các yêu cầu xác thực, mở ra cánh cửa cho các cuộc tấn công khác. Lời khuyên của Microsoft chỉ ngăn chặn các cuộc tấn công chuyển tiếp NTLM mà không giải quyết việc lạm dụng API MS-EFSRPC. Có thể Microsoft cần tung ra một bản cập nhật để khắc phục vấn đè này.

Chuyên gia bảo mật Benjamin Delpy cho rằng những biện pháp giảm thiểu mà Microsoft đưa ra chưa hề thỏa đáng. Thậm chí giao thức EFSRPC còn không được đề cập tới.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Kaspersky tiết lộ những lỗ hổng bảo mật ...

23/09/2022 08:00:00 100
Các cuộc tấn công mạng vẫn có thể được ngăn chặn trước khi kẻ tấn công xâm nhập vào mạng nội bộ. Việ...

Cách xem mật khẩu Wi-Fi của bạn trong iO...

19/09/2022 08:00:00 33
Quên mật khẩu cho một trong các mạng Wi-Fi của bạn? Hãy để Kaspersky chỉ cho bạn cách tìm lại mật kh...

Cách phục hồi tin nhắn đã xoá trên iPhon...

16/09/2022 08:00:00 32
Trong bài viết này, Kaspersky sẽ hướng dẫn bạn cách phục hồi tin nhắn đã xoá trên iPhone của bạn.

64 lỗ hổng bảo mật mới đã được Microsoft...

15/09/2022 08:00:00 31
Hôm thứ Ba, gã khổng lồ công nghệ Microsoft đã đưa ra các bản sửa lỗi để khắc phục 64 lỗi bảo mật mớ...

Apple phát hành bản cập nhật iOS và macO...

14/09/2022 08:00:00 29
Apple đã phát hành một đợt cập nhật bảo mật khác để giải quyết nhiều lỗ hổng trong iOS và macOS, bao...

Khu vực APAC chiếm 24% số email độc hại ...

13/09/2022 08:00:00 66
Kể từ khi được gửi đi lần đầu tiên năm 1978, đến nay thư rác tăng lên không chỉ về số lượng, mà còn ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ