EPA (טכניקת הגנה)

EPA היא טכניקת הגנה שהמציאה מיקרוסופט, על מנת לחסום מתקפות NTLM Relay.‏ NTLM Relay הוא מנגנון שמבטיח שכל החבילות (packets) המועברות באמצעות תשדורת ה-TLS, נשלחות על ידי צד שיודע את סוד הלקוח (במקרה של NTLM מדובר ב-NT hash). הגנה זאת מתבצעת באמצעות כבילה (binding) של תהליך האימות של Windows יחד עם ה-Session של ה-TLS, על ידי דרישה מהלקוח לחתום על נגזרת מהתעודה של השרת תוך שימוש באבטחת GSSAPI. ב-NTLM, זה נעשה באמצעות הוספת צמד AV בשם Channel Bindings בהודעת ה-NTLM_AUTHENTICATE. מכיוון שכל מבנה צמדי ה-AV נחתם באמצעות ה-NTProofStr, התוקף אינו מסוגל לשנות אותו מבלי לדעת את ה-NT hash של המשתמש^[1].

הערות שוליים[עריכת קוד מקור | עריכה]

^ מרינה סימקוב וירון זינר, [https://www.digitalwhisper.co.il/files/Zines/0x6D/DW109-1-reNTLMRelay.pdf איך הצלחנו לעקוף את כל מנגנוני ההגנה כנגד מתקפת NTLM Relay], ‏אוגוסט 2019

[1] מרינה סימקוב וירון זינר, [https://www.digitalwhisper.co.il/files/Zines/0x6D/DW109-1-reNTLMRelay.pdf איך הצלחנו לעקוף את כל מנגנוני ההגנה כנגד מתקפת NTLM Relay], ‏אוגוסט 2019

[1]