לדלג לתוכן

משתמש:עתל/EPA (טכניקת הגנה)

מתוך ויקיפדיה, האנציקלופדיה החופשית

EPA היא טכניקת הגנה נוספת שבציעה מיקרוסופט על מנת לחסום מתקפות NTLM Relay. EPA היא מנגנון שמבטיח שכל החבילות (packets) המועברות באמצעות תשדורת ה-TLS, נשלחות על-ידי צד שיודע את סוד הלקוח (במקרה של NTLM מדובר ב-NT hash). הגנה זאת מתבצעת באמצעות כבילה (binding) של תהליך האימות של Windows יחד עם ה-Session של ה-TLS, על-ידי דרישה מהלקוח לחתום על נגזרת מהתעודה של השרת תוך שימוש באבטחת GSSAPI. ב-NTLM, זה נעשה באמצעות הוספת צמד AV בשם Channel Bindings בהודעת ה-NTLM_AUTHENTICATE. מכיוון שכל מבנה צמדי ה-AV נחתם באמצעות ה-NTProofStr, התוקף אינו מסוגל לשנות אותו מבלי לדעת את ה-NT hash של המשתמש.[1]

  1. ^ מרינה סימקוב וירון זינר, [https://www.digitalwhisper.co.il/files/Zines/0x6D/DW109-1-reNTLMRelay.pdf איך הצלחנו לעקוף את כל מנגנוני ההגנה כנגד מתקפת NTLM Relay], ‏אוגוסט 2019