Serangan Windows PetitPotam Bisa Diblokir Menggunakan Cara Baru Ini

  • Bagikan
Serangan Windows PetitPotam Bisa Diblokir Menggunakan Cara Baru Ini

Peneliti keamanan telah menemukan cara untuk memblokir vektor serangan PetitPotam yang baru-baru ini diungkapkan yang memungkinkan peretas untuk mengendalikan pengontrol domain Windows dengan mudah.

Bulan lalu, peneliti keamanan GILLES Lionel mengungkapkan metode baru yang disebut PetitPotam yang memaksa mesin Windows, termasuk pengontrol domain Windows, untuk mengautentikasi terhadap server relai NTLM berbahaya aktor ancaman menggunakan Microsoft Encrypting File System Remote Protocol (EFSRPC).

Pelaku ancaman kemudian akan menyampaikan permintaan autentikasi ini ke Layanan Sertifikat Direktori Aktif domain yang ditargetkan melalui HTTP., di mana penyerang akan diberikan tiket pemberian tiket Kerberos (TGT), yang memungkinkan mereka untuk mengasumsikan identitas pengontrol domain.

Setelah vektor diungkapkan, para peneliti dengan cepat mulai menguji metode dan menggambarkan betapa mudahnya membuang kredensial dan mengambil alih domain Windows.

Dengan menggunakan serangan ini, pelaku ancaman dapat mengambil kendali penuh atas domain Windows, termasuk mendorong kebijakan grup baru, skrip, dan menyebarkan malware di semua perangkat, seperti ransomware.

Minggu lalu, Microsoft merilis sebuah nasihat berjudul ‘Mengurangi Serangan Relay NTLM pada Layanan Sertifikat Direktori Aktif (AD CS)’ yang menjelaskan cara mengurangi serangan relai NTLM.

“Untuk mencegah NTLM Relay Attacks pada jaringan dengan NTLM diaktifkan, administrator domain harus memastikan bahwa layanan yang mengizinkan otentikasi NTLM menggunakan perlindungan seperti Extended Protection for Authentication (EPA) atau fitur penandatanganan seperti penandatanganan SMB,” jelas penasihat Microsoft.

“PetitPotam memanfaatkan server di mana Active Directory Certificate Services (AD CS) tidak dikonfigurasi dengan perlindungan untuk Serangan Relai NTLM. Mitigasi yang diuraikan dalam KB5005413* menginstruksikan pelanggan tentang cara melindungi server AD CS mereka dari serangan semacam itu.”

Meskipun saran Microsoft dapat mencegah serangan relai NTLM, saran tersebut tidak memberikan panduan apa pun untuk memblokir PetitPotam, yang dapat digunakan sebagai vektor untuk serangan lainnya.

“Ini dapat digunakan untuk serangan yang berbeda juga seperti downgrade NTLMv1 dan menyampaikan akun mesin di komputer di mana akun mesin ini adalah admin lokal,” kata Lionel kepada BleepingComputer ketika dia pertama kali mengungkapkan vektor serangan.

Tanggapan Microsoft terhadap kerentanan baru-baru ini, seperti PetitPotam, SeriousSAM, dan PrintNightmare sangat mengkhawatirkan bagi peneliti keamanan yang merasa bahwa Microsoft tidak berbuat cukup untuk melindungi pelanggannya.

Memblokir serangan PetitPotam menggunakan filter NETSH

Kabar baiknya adalah bahwa para peneliti telah menemukan cara untuk memblokir vektor serangan PetitPotam yang tidak diautentikasi jarak jauh menggunakan filter NETSH tanpa memengaruhi fungsionalitas EFS lokal.

NETSH adalah utilitas baris perintah Windows yang memungkinkan administrator untuk mengkonfigurasi antarmuka jaringan, menambahkan filter, dan memodifikasi konfigurasi firewall Windows.

Akhir pekan ini, Craig Kirby membagikan filter NETSH RPC yang memblokir akses jarak jauh ke MS-EFSRPC API, yang secara efektif memblokir vektor serangan PetitPotam yang tidak diautentikasi.

Menurut peneliti keamanan Benjamin Delpy, Anda dapat menggunakan filter ini dengan menyalin konten berikut ke dalam file bernama ‘block_efsr.txt’ dan menyimpannya di desktop Anda.

rpc
filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e
add filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d
add filter
quit

Sekarang buka prompt perintah yang ditinggikan dan ketik perintah berikut untuk mengimpor filter menggunakan NETSH.

netsh -f %userprofile%\desktop\block_efsr.txt

Anda dapat memverifikasi bahwa filter telah ditambahkan dengan menjalankan perintah berikut:

netsh rpc filter show filter

Setelah menjalankan perintah, netsh akan menampilkan dua filter, satu untuk c681d488-d850-11d0-8c52-00c04fd90f7e dan satu lagi untuk df1941c5-fe89-4e79-bf10-463657acf44d, seperti yang ditunjukkan di bawah ini.

Filter NETSH RPC yang dikonfigurasi untuk memblokir PetitPotam

Dengan adanya filter ini, vektor PetitPotam tidak akan berfungsi lagi, tetapi EFS akan terus beroperasi secara normal pada perangkat.

Jika Microsoft pernah memperbaiki API untuk mencegah vektor ini, Anda dapat menghapus filter menggunakan perintah berikut:

netsh rpc filter delete filter filterkey=[key]

Filterkey dapat ditemukan saat menampilkan daftar filter yang dikonfigurasi seperti dijelaskan di atas.

  • Bagikan