Attaque de relais PetitPotam NTLM

Une faille de sécurité nouvellement découverte dans le système d’exploitation Windows peut être exploitée pour contraindre les serveurs Windows distants, y compris les contrôleurs de domaine, à s’authentifier auprès d’une destination malveillante, permettant ainsi à un adversaire de lancer une attaque par relais NTLM et de s’emparer complètement d’un domaine Windows.

Le problème, surnommé “Petit Potam“, a été découvert par le chercheur en sécurité Gilles Lionel, qui a partagé les détails techniques et le code de preuve de concept (PoC) la semaine dernière, notant que la faille fonctionne en forçant “les hôtes Windows à s’authentifier auprès d’autres machines via la fonction MS-EFSRPC EfsRpcOpenFileRaw”.

MS-EFSRPC est le protocole distant de système de fichiers de cryptage de Microsoft qui est utilisé pour effectuer des “opérations de maintenance et de gestion sur des données cryptées qui sont stockées à distance et accessibles via un réseau”.

Équipes de débordement de pile

Plus précisément, l’attaque permet à un contrôleur de domaine de s’authentifier auprès d’un NTLM distant sous le contrôle d’un acteur malveillant à l’aide de l’interface MS-EFSRPC et de partager ses informations d’authentification. Cela se fait en se connectant à LSARPC, ce qui entraîne un scénario dans lequel le serveur cible se connecte à un serveur arbitraire et effectue une authentification NTLM.

“Un attaquant peut cibler un contrôleur de domaine pour envoyer ses informations d’identification en utilisant le protocole MS-EFSRPC, puis en relayant les informations d’identification DC NTLM vers les pages d’inscription Web AD CS des services de certificats Active Directory pour inscrire un certificat DC”, a déclaré Hasain Alshakarti de TRUESEC. mentionné. « Cela donnera effectivement à l’attaquant un certificat d’authentification qui pourra être utilisé pour accéder aux services du domaine en tant que contrôleur de domaine et compromettre l’ensemble du domaine.

Bien que la désactivation de la prise en charge de MS-EFSRPC n’empêche pas l’attaque de fonctionner, Microsoft a depuis mesures d’atténuation émises pour l’émission, tout en qualifiant “PetitPotam” de “attaque de relais NTLM classique,” qui permettent aux attaquants ayant accès à un réseau d’intercepter le trafic d’authentification légitime entre un client et un serveur et de relayer ces demandes d’authentification validées afin d’accéder aux services réseau.

Prévenir les violations de données

“Pour empêcher les attaques par relais NTLM sur les réseaux sur lesquels NTLM est activé, les administrateurs de domaine doivent s’assurer que les services qui permettent l’authentification NTLM utilisent des protections telles que la protection étendue pour l’authentification (EPA) ou des fonctionnalités de signature telles que la signature SMB”, a noté Microsoft. “PetitPotam tire parti des serveurs sur lesquels les services de certificats Active Directory (AD CS) ne sont pas configurés avec des protections contre les attaques par relais NTLM.”

Pour se prémunir contre cette ligne d’attaque, le fabricant de Windows recommande aux clients de désactiver l’authentification NTLM sur le contrôleur de domaine. Dans le cas où NTLM ne peut pas être désactivé pour des raisons de compatibilité, la société invite les utilisateurs à suivre l’une des deux étapes ci-dessous :

  • Désactivez NTLM sur tous les serveurs AD CS de votre domaine à l’aide de la stratégie de groupe Sécurité réseau : Restreindre NTLM : Trafic NTLM entrant.
  • Désactiver NTLM pour Internet Information Services (IIS) sur les serveurs AD CS dans le domaine exécutant les services « Certificate Authority Web Enrollment » ou « Certificate Enrollment Web Service »

PetitPotam marque le troisième problème majeur de sécurité Windows révélé au cours du mois dernier après les vulnérabilités PrintNightmare et SeriousSAM (alias HiveNightmare).



Leave a Reply