ចំណុចខ្សោយរបស់ Windows SMB Client អនុញ្ញាតឱ្យអ្នកវាយប្រហារគ្រប់គ្រង Active Directory

ភាពងាយរងគ្រោះដ៏សំខាន់មួយនៅក្នុងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវរបស់ម៉ាស៊ីនភ្ញៀវ Windows SMB ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើឱ្យខូចបរិស្ថាន Active Directory តាមរយៈការកេងប្រវ័ញ្ចការឆ្លុះបញ្ចាំង NTLM ។

ភាពងាយរងគ្រោះនេះត្រូវបានចាត់ថ្នាក់ជាភាពងាយរងគ្រោះនៃការគ្រប់គ្រងការចូលប្រើមិនត្រឹមត្រូវ ភាពងាយរងគ្រោះនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមានការអនុញ្ញាតបង្កើនសិទ្ធិតាមរយៈការវាយប្រហារបញ្ជូនបន្តការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលបានរៀបចំយ៉ាងប្រុងប្រយ័ត្នលើការតភ្ជាប់បណ្តាញ។

ប្រាំពីរខែបន្ទាប់ពីការចេញផ្សាយបំណះសុវត្ថិភាពខែមិថុនា ឆ្នាំ 2025 ការស្រាវជ្រាវបង្ហាញពីការមិនទទួលយកយ៉ាងទូលំទូលាយនៅទូទាំងហេដ្ឋារចនាសម្ព័ន្ធសហគ្រាស។

ម៉ាស៊ីនងាយរងគ្រោះត្រូវបានកំណត់អត្តសញ្ញាណនៅលើស្ទើរតែគ្រប់ការធ្វើតេស្តជ្រៀតចូលនៅទូទាំងឧបករណ៍បញ្ជាដែន ម៉ាស៊ីនមេកម្រិតសូន្យ និងស្ថានីយការងារ។ ភាពងាយរងគ្រោះនេះកេងប្រវ័ញ្ចយន្តការជាមូលដ្ឋាននៅក្នុងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវក្នុងស្រុក Windows NTLM ។

នៅពេលដែលម៉ាស៊ីនភ្ញៀវទទួលបានសារ NTLM_CHALLENGE ដែលត្រូវបានសម្គាល់សម្រាប់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវក្នុងស្រុក ប្រព័ន្ធនឹងបង្កើតវត្ថុបរិបទមួយ ហើយបញ្ចូលលេខសម្គាល់បរិបទទៅក្នុងវាលដែលបានបម្រុងទុក។

យន្តការនេះ រួមផ្សំជាមួយនឹងបច្ចេកទេសបង្ខិតបង្ខំដូចជា PetitPotam, DFSCoerce និង Printerbug បង្ខំ lsass.exe (ដំណើរការជាប្រព័ន្ធ) ឱ្យផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវទៅកាន់ម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។

បន្ទាប់មកម៉ាស៊ីនមេធ្វើត្រាប់តាមសញ្ញាសម្ងាត់ប្រព័ន្ធសម្រាប់ប្រតិបត្តិការជាបន្តបន្ទាប់ ដោយផ្តល់ការសម្របសម្រួលប្រព័ន្ធពេញលេញ។

តម្រូវការវាយប្រហារ និងផ្លូវកេងប្រវ័ញ្ច

ការកេងប្រវ័ញ្ចតម្រូវឱ្យចុះឈ្មោះកំណត់ត្រា DNS ព្យាបាទនៅក្នុង AD DNS (អនុញ្ញាតសម្រាប់អ្នកប្រើប្រាស់ដែលបានផ្ទៀងផ្ទាត់តាមលំនាំដើម) ឬអនុវត្តការបំពុល DNS នៅក្នុងបណ្តាញមូលដ្ឋាន។

តម្រូវការសិទ្ធិទាបទាំងនេះបង្កើនផ្ទៃវាយប្រហារជាមូលដ្ឋាន ដោយសារអង្គការភាគច្រើនមិនបានរឹតបន្តឹងអ្នកប្រើប្រាស់ដែលបានផ្ទៀងផ្ទាត់ពីការបង្កើតកំណត់ត្រា DNS តាមអំពើចិត្តនៅក្នុងតំបន់ DNS AD ទេ។

ការវាយប្រហារដែលបានពង្រីកលើសពីការចុះហត្ថលេខា SMB

ភាពងាយរងគ្រោះនេះលាតសន្ធឹងហួសពីការបញ្ជូនត SMB-to-SMB ធម្មតា។ អ្នកស្រាវជ្រាវ DepthSecurity បានបញ្ជាក់ពីការវាយប្រហារដោយជោគជ័យប្រឆាំងនឹងសេវាកម្មចុះឈ្មោះ ADCS មូលដ្ឋានទិន្នន័យ MSSQL និង WinRMS តាមរយៈបច្ចេកទេសបញ្ជូនតឆ្លងពិធីការ។

អ្វីដែលគួរឱ្យព្រួយបារម្ភជាងនេះទៅទៀត ការវាយប្រហារឆ្លុះបញ្ចាំង SMB-to-LDAP អនុញ្ញាតឱ្យអ្នកវាយប្រហាររៀបចំវត្ថុ Active Directory ដែលមានសិទ្ធិប្រព័ន្ធដោយផ្ទាល់។

ការអនុញ្ញាតឱ្យមានការកែប្រែសមាជិកភាពក្រុម និងការប្រមូលផលលិខិតសម្គាល់តាមរយៈប្រតិបត្តិការ DCSync។

ការប៉ុនប៉ងបញ្ជូនតដែលមានមូលដ្ឋានលើ RPC បានបង្ហាញពីតម្រូវការអ៊ិនគ្រីបសោវគ្គស្រដៀងគ្នាទៅនឹងការចុះហត្ថលេខា SMB ដែលបង្ហាញថាយន្តការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវរបស់ Windows ជាមូលដ្ឋានធ្វើឱ្យផលប៉ះពាល់នៃភាពងាយរងគ្រោះកាន់តែធ្ងន់ធ្ងរឡើង។

អ្នកវាយប្រហារបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃសេវាកម្ម RPC ដោយជោគជ័យ ប៉ុន្តែជួបប្រទះការគ្រប់គ្រងការចូលប្រើលើប្រតិបត្តិការជាបន្តបន្ទាប់ ដែលបង្ហាញពីមធ្យោបាយដែលអាចកើតមានសម្រាប់ការកេងប្រវ័ញ្ចតាមរយៈការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ Net-NTLMv1។

យោងតាម ​​DepthSecurity អង្គការនានាត្រូវតែអនុវត្តការអាប់ដេតសុវត្ថិភាព Windows ខែមិថុនា ឆ្នាំ២០២៥ ជាការកាត់បន្ថយចម្បងជាបន្ទាន់។ លើសពីនេះ អនុញ្ញាតឱ្យមានការចុះហត្ថលេខា និងអនុវត្តការអនុវត្តការចងភ្ជាប់នៅទូទាំងពិធីការទាំងអស់ មិនកំណត់ចំពោះ SMB នោះទេ។

ការកំណត់រចនាសម្ព័ន្ធឡើងវិញនូវបញ្ជីត្រួតពិនិត្យការចូលប្រើតំបន់ DNS របស់ Active Directory ដើម្បីរឹតបន្តឹងអ្នកប្រើប្រាស់ដែលបានផ្ទៀងផ្ទាត់ពីការបង្កើតកំណត់ត្រា DNS កាត់បន្ថយយ៉ាងខ្លាំងនូវលទ្ធភាពនៃការកេងប្រវ័ញ្ច។

ក្រុមសន្តិសុខត្រូវតែផ្តល់អាទិភាពដល់ការបិទភ្ជាប់បច្ចេកទេសបង្ខិតបង្ខំ NTLM យ៉ាងរហ័ស និងធ្វើការត្រួតពិនិត្យយ៉ាងហ្មត់ចត់នៃវិធីសាស្ត្រវាយប្រហារបញ្ជូនបន្ត NTLM នៅទូទាំងហេដ្ឋារចនាសម្ព័ន្ធរបស់ពួកគេ។