Phát hiện PetitPotam – phương pháp hack mới chưa có cách ngăn chặn trong thực tế

www.tuoitre.vn -   20/07/2021 12:00:00 1096

Mới đây, nhà nghiên cứu bảo mật người Pháp Gilles Lionel, hay còn được biết đến với biệt danh Topotam, đã tiết lộ một kỹ thuật tấn công mới mang tên PetitPotam. Đây là một kiểu tấn công chuyển tiếp NTLM không phụ thuộc vào API MS-RPRN mà sử dụng chức năng EfsRpcOpenFileRaw của API MS-EFSRPC.

Phát hiện PetitPotam – phương pháp hack mới chưa có cách ngăn chặn trong thực tế

MS-EFSRPC là Giao thức Mã hóa Tệp Hệ thống Từ xa của Microsoft, thường được dùng để thực hiện các hoạt động bảo trì và quản lý dữ liệu mã hóa được lưu trữ từ xa và được truy cập qua mạng.

Theo Lionel, đây không phải là một lỗ hổng mà là sự lạm dụng một tính năng hợp pháp của hệ thống. PetitPotam không chỉ cho phép hacker kiểm soát toàn bộ Windows domain mà còn dẫn tới những cuộc tấn công khác, Lionel chia sẻ.

Ngay sau khi Lionel công bố nghiên cứu của mình trên GitHub, nhiều chuyên gia bảo mật khác đã bắt tay vào thử nghiệm. Nhà nghiên cứu bảo mật Remi Escourrou xác nhận có thể dùng PetitPotam để kiểm soát toàn bộ Active Directory. Ngoài ra, ông còn cho biết thêm rằng thực tế không có cách nào để chặn được PetitPotam.

PetitPotam ảnh hưởng tới Windows Server 2008 đến 2019. Theo Microsoft, chưa có dấu hiệu nào cho thấy kỹ thuật tấn công PetitPotam được hacker sử dụng.

Phát hiện PetitPotam – phương pháp hack mới chưa có cách ngăn chặn trong thực tế

Microsoft chia sẻ cách khắc phục PetitPotam

Trong một tuyên bố vừa được đưa ra, Microsoft thừa nhận rằng các tổ chức có thể bị tấn công bởi PetitPotam. Hiện tại, Microsoft vẫn chưa tung ra bản vá nhưng hãng này khuyên các tổ chức nên thực hiện các biện pháp sau để giảm thiểu thiệt hại do PetitPotam gây ra:

- Vô hiệu hóa NTLM ở những nơi mà nó không cần thiết (ví dụ Domain Controller)

- Kích hoạt cơ chế Extended Protection for Authentication để bảo vệ thông tin đăng nhập trên máy tính Windows

Tuy nhiên, PetitPotam tấn công bằng cách lạm dụng chức năng EfsRpcOpenFileRaw của API MS-EFSRPC để chuyển các yêu cầu xác thực, mở ra cánh cửa cho các cuộc tấn công khác. Lời khuyên của Microsoft chỉ ngăn chặn các cuộc tấn công chuyển tiếp NTLM mà không giải quyết việc lạm dụng API MS-EFSRPC. Có thể Microsoft cần tung ra một bản cập nhật để khắc phục vấn đè này.

Chuyên gia bảo mật Benjamin Delpy cho rằng những biện pháp giảm thiểu mà Microsoft đưa ra chưa hề thỏa đáng. Thậm chí giao thức EFSRPC còn không được đề cập tới.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 194
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 164
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 166
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 177
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 147
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 86
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ