EPA (טכניקת הגנה)

הגרסה להדפסה אינה נתמכת עוד וייתכן שיש בה שגיאות תיצוג. נא לעדכן את הסימניות בדפדפן שלך ולהשתמש בפעולת ההדפסה הרגילה של הדפדפן במקום זה.

EPA היא טכניקת הגנה שהמציאה מיקרוסופט, על מנת לחסום מתקפות NTLM Relay.‏ NTLM Relay הוא מנגנון שמבטיח שכל החבילות (packets) המועברות באמצעות תשדורת ה-TLS, נשלחות על ידי צד שיודע את סוד הלקוח (במקרה של NTLM מדובר ב-NT hash). הגנה זאת מתבצעת באמצעות כבילה (binding) של תהליך האימות של Windows יחד עם ה-Session של ה-TLS, על ידי דרישה מהלקוח לחתום על נגזרת מהתעודה של השרת תוך שימוש באבטחת GSSAPI. ב-NTLM, זה נעשה באמצעות הוספת צמד AV בשם Channel Bindings בהודעת ה-NTLM_AUTHENTICATE. מכיוון שכל מבנה צמדי ה-AV נחתם באמצעות ה-NTProofStr, התוקף אינו מסוגל לשנות אותו מבלי לדעת את ה-NT hash של המשתמש^[1].

הערות שוליים

^ מרינה סימקוב וירון זינר, [https://www.digitalwhisper.co.il/files/Zines/0x6D/DW109-1-reNTLMRelay.pdf איך הצלחנו לעקוף את כל מנגנוני ההגנה כנגד מתקפת NTLM Relay], ‏אוגוסט 2019

[1] מרינה סימקוב וירון זינר, [https://www.digitalwhisper.co.il/files/Zines/0x6D/DW109-1-reNTLMRelay.pdf איך הצלחנו לעקוף את כל מנגנוני ההגנה כנגד מתקפת NTLM Relay], ‏אוגוסט 2019

[1]