Peneliti asal Prancis Gilles Lionel, yang menggunakan @topotam77, baru-baru ini menerbitkan kode bukti konsep yang dapat digunakan penyerang untuk mengambil alih jaringan Windows.
Peretasan itu, yang ia juluki PetitPotam, melibatkan apa yang dikenal sebagai serangan relay NTLM, yang merupakan bentuk serangan manipulator-in-the-middle (MitM) terhadap sistem otentikasi NTLM Microsoft.
Microsoft telah menyarankan semua orang untuk menghindari NTLM, kependekan dari NT LAN Manager, selama lebih dari satu dekade, karena tidak memenuhi standar keamanan kriptografi modern.
Menurut Microsoft, kode PetitPotam bergantung pada penyalahgunaan fungsi sistem yang diaktifkan jika semua kondisi ini berlaku:
- Otentikasi NTLM diaktifkan di domain Anda.
- Anda menggunakan Active Directory Certificate Services (AD CS).
- Anda mengaktifkan Certificate Authority Web Enrollment atau Certificate Enrollment Web Service.
Apa yang harus dilakukan?
Jelas, pertahanan paling kuat adalah berhenti menggunakan NTLM di jaringan Anda.
Jika Anda benar-benar tidak membutuhkannya (dan sudah tidak digunakan lagi selama lebih dari satu dekade), Anda dapat mematikannya di domain controller untuk meningkatkan keamanan seluruh jaringan Anda.
Jika Anda tidak dapat mematikan otentikasi NTLM sama sekali, Microsoft memiliki banyak langkah lain yang dapat Anda ambil, tetapi ini secara khusus menangani celah PetitPotam daripada menyingkirkan kriptografi NTLM yang sudah ketinggalan zaman itu sendiri.
Selengkapnya: Naked Security
