Windows: Une mise à jour de sécurité bloque les attaques PetitPotam

0

Microsoft a publié des mises à jour de sécurité qui bloquent l’attaque par relais NTLM PetitPotam qui permet à un acteur malveillant de prendre le contrôle d’un domaine Windows.

En juillet, le chercheur en sécurité GILLES Lionel, alias Topotam, a dévoilé une nouvelle méthode appelée PetitPotam qui oblige un contrôleur de domaine à s’authentifier contre le serveur d’un acteur malveillant à l’aide des fonctions de l’API MS-EFSRPC.

En utilisant le vecteur PetitPotam, un individu malveillant peut utiliser l’interface Windows LSARPC pour communiquer et exécuter les fonctions de l’API MS-EFSRPC sans authentification. Les fonctions, OpenEncryptedFileRawA et OpenEncryptedFileRawW, permettent à l’acteur malveillant de forcer un contrôleur de domaine à s’authentifier auprès d’un serveur relais NTLM sous le contrôle de l’attaquant.

Le relais NTLM transmettrait la demande aux services de certificats Active Directory d’une victime via HTTP pour recevoir un ticket d’octroi de tickets Kerberos (TGT) qui permet au pirate informatique d’assumer l’identité de n’importe quel périphérique sur le réseau, y compris un contrôleur de domaine.

Cette attaque par relais NTLM permet au pirate informatique de prendre le contrôle du contrôleur de domaine, et donc du domaine Windows.

En Juillet, Microsoft a publié un avis de sécurité expliquant comment atténuer les attaques par relais NTLM ciblant les services de certificats Active Directory (AD CS).

Cependant, Microsoft n’a fourni aucune information sur le blocage du vecteur PetitPotam jusqu’à ce que les chercheurs découvrent comment le sécuriser à l’aide de filtres NETSH.

Microsoft bloque le vecteur PetitPotam

Dans le cadre des mises à jour du Patch Tuesday d’Août 2021, Microsoft a publié une mise à jour de sécurité qui bloque le vecteur PetitPotam (CVE-2021-36942), de sorte qu’il ne peut pas forcer un contrôleur de domaine à s’authentifier sur un autre serveur. :

« Un attaquant non authentifié pourrait appeler une méthode sur l’interface LSARPC et contraindre le contrôleur de domaine à s’authentifier auprès d’un autre serveur utilisant NTLM », explique Microsoft dans l’avis CVE-2021-36942.

« Cette mise à jour de sécurité bloque les appels d’API concernés OpenEncryptedFileRawA et OpenEncryptedFileRawW via l’interface LSARPC. »

Microsoft avertit que l’installation de cette mise à jour peut affecter le logiciel de sauvegarde qui utilise la fonction EFS OpenEncryptedFileRaw(A/W).

« L’API EFS OpenEncryptedFileRaw(A/W), souvent utilisée dans les logiciels de sauvegarde, continue de fonctionner dans toutes les versions de Windows (locales et distantes), sauf lors de la sauvegarde vers ou à partir d’un système exécutant Windows Server 2008 SP2. OpenEncryptedFileRaw ne fonctionnera plus sur Windows Server 2008 SP2″, prévient Microsoft.

Si votre logiciel de sauvegarde ne fonctionne plus après l’installation de cette mise à jour sur Windows 7 Service Pack 1 ou Windows Server 2008 R2 Service Pack 1 et versions ultérieures, Microsoft vous suggère de contacter le développeur de votre logiciel de sauvegarde pour obtenir une version mise à jour.

Laisser un commentaire