EPA (טכניקת הגנה)
קפיצה לניווט
קפיצה לחיפוש
EPA היא טכניקת הגנה שהמציאה מיקרוסופט, על מנת לחסום מתקפות NTLM Relay. NTLM Relay הוא מנגנון שמבטיח שכל החבילות (packets) המועברות באמצעות תשדורת ה-TLS, נשלחות על ידי צד שיודע את סוד הלקוח (במקרה של NTLM מדובר ב-NT hash). הגנה זאת מתבצעת באמצעות כבילה (binding) של תהליך האימות של Windows יחד עם ה-Session של ה-TLS, על ידי דרישה מהלקוח לחתום על נגזרת מהתעודה של השרת תוך שימוש באבטחת GSSAPI. ב-NTLM, זה נעשה באמצעות הוספת צמד AV בשם Channel Bindings בהודעת ה-NTLM_AUTHENTICATE. מכיוון שכל מבנה צמדי ה-AV נחתם באמצעות ה-NTProofStr, התוקף אינו מסוגל לשנות אותו מבלי לדעת את ה-NT hash של המשתמש[1].
הערות שוליים
- ^ מרינה סימקוב וירון זינר, [https://www.digitalwhisper.co.il/files/Zines/0x6D/DW109-1-reNTLMRelay.pdf איך הצלחנו לעקוף את כל מנגנוני ההגנה כנגד מתקפת NTLM Relay], אוגוסט 2019
30715555EPA (טכניקת הגנה)