Les attaques PetitPotam de Windows peuvent être bloquées à l’aide d’une nouvelle méthode

0

Les chercheurs en sécurité ont mis au point un moyen de bloquer le vecteur d’attaque PetitPotam récemment divulgué qui permet aux pirates de prendre facilement le contrôle d’un contrôleur de domaine Windows.

Le mois dernier, le chercheur en sécurité GILLES Lionel a dévoilé une nouvelle méthode appelée PetitPotam qui oblige une machine Windows, y compris un contrôleur de domaine Windows, à s’authentifier contre le serveur relais NTLM malveillant d’un pirate informatique à l’aide du protocole Microsoft Encrypting File System Remote Protocol (EFSRPC).

Les pirates informatiques relayeraient ensuite cette requête d’authentification aux services de certificats Active Directory d’un domaine ciblé via HTTP, où l’attaquant recevrait un ticket d’octroi de ticket Kerberos (TGT), lui permettant d’assumer l’identité du contrôleur de domaine.

Après la divulgation du vecteur, les chercheurs ont rapidement commencé à tester la méthode et ont illustré à quel point il était facile de vider les informations d’identification et de prendre en charge un domaine Windows.

À l’aide de cette attaque, un acteur malveillant peut prendre le contrôle total d’un domaine Windows, notamment en diffusant de nouvelles stratégies de groupe, de nouveaux scripts et en déployant des logiciels malveillants sur tous les appareils.

Récemment, Microsoft a publié un avis intitulé « Atténuation des attaques par relais NTLM sur les services de certificats Active Directory (AD CS) » qui explique comment atténuer les attaques par relais NTLM.

« Pour empêcher les attaques par relais NTLM sur les réseaux sur lesquels NTLM est activé, les administrateurs de domaine doivent s’assurer que les services qui permettent l’authentification NTLM utilisent des protections telles que la protection étendue pour l’authentification (EPA) ou des fonctionnalités de signature telles que la signature SMB », a expliqué l’avis de Microsoft.

« PetitPotam tire parti des serveurs sur lesquels les services de certificats Active Directory (AD CS) ne sont pas configurés avec des protections contre les attaques par relais NTLM. Les atténuations décrites dans KB5005413* indiquent aux clients comment protéger leurs serveurs AD CS contre de telles attaques.

Bien que les suggestions de Microsoft puissent empêcher les attaques par relais NTLM, elles ne fournissent aucune indication sur le blocage de PetitPotam, qui peut être utilisé comme vecteur pour d’autres attaques.

« Il peut également être utilisé pour différentes attaques, telles que la rétrogradation NTLMv1 et le relai de compte de machine sur des ordinateurs où ce compte de machine est un administrateur local », a déclaré Lionel lorsqu’il a divulgué le vecteur d’attaque pour la première fois.

La réponse de Microsoft aux récentes vulnérabilités, telles que PetitPotam, SeriousSAM et PrintNightmare, a été très préoccupante pour les chercheurs en sécurité qui estiment que Microsoft ne fait pas assez pour protéger ses clients.

Bloquer les attaques PetitPotam à l’aide de filtres NETSH

La bonne nouvelle est que les chercheurs ont trouvé un moyen de bloquer le vecteur d’attaque à distance non authentifié PetitPotam à l’aide de filtres NETSH sans affecter la fonctionnalité EFS locale.

NETSH est un utilitaire de ligne de commande Windows qui permet aux administrateurs de configurer des interfaces réseau, d’ajouter des filtres et de modifier la configuration du pare-feu Windows.

Ce week-end, Craig Kirby a partagé un filtre NETSH RPC qui bloque l’accès à distance à l’API MS-EFSRPC, bloquant efficacement le vecteur d’attaque PetitPotam non authentifié.

Selon le chercheur en sécurité Benjamin Delpy, vous pouvez utiliser ce filtre en copiant le contenu suivant dans un fichier appelé « block_efsr.txt » et en l’enregistrant sur votre bureau.

rpc
filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e
add filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d
add filter
quit

Ouvrez maintenant une invite de commande élevée et tapez la commande suivante pour importer le filtre à l’aide de NETSH.

netsh -f %userprofile%\desktop\block_efsr.txt

Vous pouvez vérifier que les filtres ont été ajoutés en exécutant la commande suivante:

netsh rpc filter show filter

Après avoir exécuté la commande, netsh doit afficher deux filtres, un pour c681d488-d850-11d0-8c52-00c04fd90f7e et un autre pour df1941c5-fe89-4e79-bf10-463657acf44d, comme indiqué ci-dessous.

petitpotam netsh
Filtres NETSH RPC configurés pour bloquer PetitPotam

Avec ces filtres en place, le vecteur PetitPotam ne fonctionnera plus, mais EFS continuera à fonctionner normalement sur l’appareil.

Si Microsoft corrige l’API pour stopper ce vecteur, vous pouvez supprimer les filtres à l’aide de la commande suivante:

netsh rpc filter delete filter filterkey=[key]

La clé de filtre peut être trouvée lors de l’affichage de la liste des filtres configurés comme décrit ci-dessus.

Laisser un commentaire