Microsoft partage des mesures d’atténuation pour la nouvelle attaque PetitPotam

0

Microsoft a publié des mesures d’atténuation pour la nouvelle attaque PetitPotam qui permet de prendre en charge un contrôleur de domaine ou d’autres serveurs Windows.

PetitPotam est une nouvelle méthode qui peut être utilisée pour mener une attaque par relais NTLM. Cette attaque a été découverte par le chercheur français en sécurité Gilles Lionel (Topotam). Cette méthode a été divulguée la semaine dernière avec un script de preuve de concept).

La nouvelle attaque utilise le protocole EFSRPC (Microsoft Encrypting File System Remote Protocol) pour forcer un appareil, y compris les contrôleurs de domaine, à s’authentifier auprès d’un relais NTLM distant contrôlé par un individu malveillant.

Une fois qu’un appareil s’authentifie auprès d’un serveur NTLM malveillant, un pirate informatique peut voler le hachage et les certificats qui peuvent être utilisés pour assumer l’identité de l’appareil et ses privilèges.

Atténuation limitée aux contrôleurs de domaine

Après l’annonce de l’attaque PetitPotam, Microsoft a publié un avis de sécurité contenant des recommandations pour se défendre contre les pirates informatiques utilisant la nouvelle technique sur les contrôleurs de domaine.

La société affirme que les organisations exposées à PetitPotam ou à d’autres attaques par relais ont l’authentification NTLM activée sur le domaine et utilisent les services de certificats Active Directory (AD CS) avec l’inscription Web de l’autorité de certification ou le service Web d’inscription des certificats.

Dans un tweet plus tôt dans la journée, Microsoft recommande de désactiver NTLM quand il n’est pas nécessaire, par exemple pour les contrôleurs de domaine, ou pour activer le mécanisme de protection étendue pour l’authentification afin de protéger les informations d’identification sur les machines Windows.

Microsoft PetitPotam
source: Microsoft

La société recommande également sur les réseaux sur lesquels NTLM est activé que les services permettant l’authentification NTLM utilisent des fonctionnalités de signature telles que la signature SMB qui est disponible depuis Windows 98.

PetitPotam tire parti des serveurs sur lesquels les services de certificats Active Directory (AD CS) ne sont pas configurés avec des protections contre les attaques par relais NTLM [comme indiqué dans KB5005413].

Cependant, PetitPotam consiste à abuser de la fonction EfsRpcOpenFileRaw de l’API MS-EFSRPC pour transmettre des demandes d’authentification, laissant la porte ouverte à d’autres attaques.

L’avis de Microsoft est clair sur les mesures à prendre pour empêcher les attaques par relais NTLM, mais ne traite pas de l’abus de l’API MS-EFSRPC, qui nécessiterait une mise à jour de sécurité pour être corrigé.

Gilles Lionel a déclaré que PetitPotam autorise d’autres attaques, telles qu’une attaque de rétrogradation vers NTLMv1 qui utilise le Data Encryption Standard (DES) – un algorithme non sécurisé en raison de sa génération de clé courte de 56 bits qui facilite la récupération d’un hachage de mot de passe.

Un exemple, a déclaré Gilles Lionel, est une attaque de rétrogradation vers NTLMv1 qui utilise le Data Encryption Standard (DES) – un algorithme non sécurisé en raison de sa génération de clé courte de 56 bits qui facilite la récupération d’un hachage de mot de passe.

Un attaquant peut alors utiliser le compte sur les machines où il dispose des privilèges d’administrateur local. Lionel affirme que les serveurs Exchange et Microsoft System Center Configuration Manager (SCCM) sont couramment ciblé.

Benjamin Delpy a critiqué la manière dont Microsoft a décidé d’atténuer PetitPotam, soulignant que le protocole EFSRPC n’est même pas mentionné dans l’avis.

PetitPotam affecte Windows Server 2008 à 2019. L’avis de Microsoft indique que la technique n’a pas encore été exploitée dans la nature mais n’a pas encore évalué le niveau d’exploitabilité.

Laisser un commentaire