اكتشف الباحث الفرنسي في مجال الأمن السيبراني جيل ليونيل ثغرة أمنية في نظام التشغيل Windows. يؤدي استغلالها إلى إجبار خوادم Windows البعيدة على بدء عملية المصادقة ثم إرسال بيانات اعتماد NTLM أو شهادات المصادقة إلى المتسلل.
تم تسمية المشكلة باسم PetitPotam ، وتم نشر كود PoC على GitHub لاستغلالها. يمكن للمهاجم استخدام بروتوكول MS-EFSRPC لأغراضه الخاصة ، مما يسمح للأجهزة التي تعمل بنظام Windows بإجراء عمليات باستخدام البيانات المشفرة المخزنة على الأنظمة البعيدة.
من خلال إرسال طلبات SMB إلى واجهة MS-EFSRPC للنظام البعيد ، يمكنك إجبار الكمبيوتر على بدء المصادقة ومشاركة بيانات اعتماد المصادقة الخاصة به. باستخدام البيانات التي تم الحصول عليها ، يمكن للمهاجم تنفيذ هجمات ترحيل NTLM للوصول إلى الأنظمة البعيدة على نفس الشبكة الداخلية.
قال جيلس إن تعطيل دعم MS-EFSRPC لا يمنع الهجوم. تم اختبار الهجوم على Windows Server 2016 و Windows Server 2019 ، لكن يعتقد باحثو الأمن أن PetitPotam يؤثر على معظم الإصدارات المدعومة من Windows Server.
ولم يعلق متحدث باسم Microsoft على المشكلة ، لكن الشركة نشرت تدابير لمنع استغلال الثغرة الأمنية.
0 تعليقات