La nouvelle attaque PetitPotam permet de s’emparer de domaines Windows

0

Une nouvelle attaque par relais NTLM appelée PetitPotam a été découverte et permet aux individus malveillants de prendre le contrôle d’un contrôleur de domaine, et donc d’un domaine Windows entier.

De nombreuses organisations utilisent les services de certificats Microsoft Active Directory, qui est un serveur d’infrastructure à clé publique (PKI) qui peut être utilisé pour authentifier les utilisateurs, les services et les machines sur un domaine Windows.

Dans le passé, les chercheurs ont découvert une méthode pour forcer un contrôleur de domaine à s’authentifier contre un relais NTLM malveillant qui transmettrait ensuite la demande aux services de certificats Active Directory d’un domaine via HTTP.

En fin de compte, l’attaquant se verrait octroyer un ticket Kerberos (TGT) qui lui permettrait d’assumer l’identité de n’importe quel périphérique sur le réseau, y compris un contrôleur de domaine.

Pour forcer la machine à effectuer l’authentification auprès d’un serveur distant, un attaquant pourrait utiliser la fonction RpcRemoteFindFirstPrinterChangeNotification de l’API d’impression MS-RPRN.

« Le spouleur d’impression de Microsoft est un service gérant les travaux d’impression et d’autres tâches diverses liées à l’impression. Un attaquant contrôlant un utilisateur/ordinateur de domaine peut, avec un appel RPC spécifique, déclencher le service de spouleur d’une cible et le faire s’authentifier auprès d’un cible choisie par l’attaquant », explique un article de blog sur Hacker.recipes.

Si cette attaque réussit, l’attaquant pourrait prendre le contrôle du contrôleur de domaine et exécuter toute commande qu’il souhaite, prenant ainsi le contrôle du domaine Windows.

Depuis que cette attaque a été divulguée, de nombreuses organisations ont désactivé MS-RPRN pour bloquer le vecteur d’attaque.

Présentation de PetitPotam

Le chercheur en sécurité GILLES Lionel, alias Topotam, a dévoilé une nouvelle technique appelée « PetitPotam » qui effectue une attaque par relais NTLM qui ne repose pas sur l’API MS-RPRN mais utilise à la place la fonction EfsRpcOpenFileRaw de l’API MS-EFSRPC.

MS-EFSRPC est le protocole à distance du système de fichiers de cryptage de Microsoft qui est utilisé pour effectuer des « opérations de maintenance et de gestion sur des données cryptées qui sont stockées à distance et accessibles via un réseau ».

Lionel a publié un script de preuve de concept pour la technique PetitPotam sur GitHub qui peut être utilisé pour forcer un contrôleur de domaine à s’authentifier contre un NTLM distant sous le contrôle d’un attaquant à l’aide de l’API MS-EFSRPC.

Dans une conversation au sujet de la nouvelle méthode d’attaque par relais, Lionel a déclaré qu’il ne voyait pas cela comme une vulnérabilité mais plutôt comme l’abus d’une fonction légitime.

« A mes yeux, il ne s’agit pas d’une vulnérabilité mais d’un abus de fonction légitime. Fonction qui ne devrait pas utiliser le compte machine pour s’authentifier comme dans le bug de l’imprimante par exemple », a expliqué Lionel.

En plus de l’attaque relayant l’authentification SMB vers un serveur d’inscription de certificat HTTP permettant la prise de contrôle complète du contrôleur de domaine, Lionel a déclaré qu’il pourrait être utilisé pour d’autres attaques.

windows PetitPotam

Ces attaques supplémentaires incluent « la dégradation vers NTLMv1 et le relai du compte machine sur les ordinateurs où ce compte machine est administrateur local (SCCM, serveur d’échange, sont souvent dans cette situation par exemple).

Le chercheur affirme que le seul moyen d’atténuer cette technique est de désactiver l’authentification NTLM ou d’activer des protections, telles que la signature SMB, la signature LDAP et la liaison de canal.

Le chercheur en sécurité et créateur de Mimikatz, Benjamin Delpy, qui a testé l’attaque PetitPotam, a également suggéré les mesures d’atténuation suivantes:

  • Supprimer Web Enroll (vous n’en avez vraiment pas besoin – utilisez RPC)
  • Supprimez ou désactivez Nego/NTLM, utilisez Kerberos !
  • Essayez la protection étendue pour l’authentification avec SSL (car oui, le serveur Web PKI n’a pas de certificat par défaut…) » – Benjamin Delpy

Malheureusement, aucun moyen n’a été trouvé pour empêcher l’utilisation de EfsRpcOpenFileRaw pour relayer les demandes d’authentification.

Lionel nous a indiqué que l’arrêt du service EFS n’empêche pas l’exploitation de la technique.

Microsoft a partagé un avis sur PetitPotam et comment atténuer les attaques par relais NTML.

PetitPotam est ‘brutal’

Depuis la sortie de PetitPotam, les chercheurs en sécurité se sont empressés de tester la preuve de concept et son efficacité.

« Enfin fini de le tester, c’est assez brutal ! L’accès réseau à la prise de contrôle complète d’AD… J’ai vraiment sous-estimé l’impact du relais NTLM sur PKI ESC8 Le combo avec PetitPotam est génial ! », a tweeté le chercheur en sécurité Rémi Escourrou.

« En fait, aucun moyen de bloquer PetitPotam (à ma connaissance actuelle) mais vous pouvez durcir le service HTTP de la PKI pour éviter le relais NTLM », a déclaré Escourrou.

Delpy a également partagé la vidéo suivante montrant comment les individus malveillants peuvent abuser de l’attaque PetitPotam.

Laisser un commentaire