Windows: Un nouveau correctif non officiel corrige plus de vecteurs d’attaque de PetitPotam

0

Un deuxième correctif non officiel pour l’attaque PetitPotam de Windows a été publié pour résoudre d’autres problèmes non résolus par la mise à jour de sécurité officielle de Microsoft.

Une attaque par relais NTLM se produit lorsqu’un acteur malveillant peut forcer un serveur ou un contrôleur de domaine à s’authentifier auprès d’un serveur relais NTLM sous le contrôle d’un acteur malveillant.

Ce relais NTLM transmettrait ensuite la demande aux services de certificats Active Directory d’une victime ciblée via HTTP pour recevoir un ticket d’octroi de tickets Kerberos (TGT), qui permet à l’attaquant d’assumer l’identité du contrôleur de domaine et de prendre le contrôle du domaine Windows.

Dans le passé, il existait de nombreuses façons de forcer un contrôleur de domaine à s’authentifier contre le serveur relais d’un acteur malveillant, comme l’API d’impression MS-RPRN, que Microsoft a corrigée.

En juillet, le chercheur en sécurité GILLES Lionel, alias Topotam, a dévoilé une nouvelle technique appelée « PetitPotam » qui effectue une authentification forcée non authentifiée sur les contrôleurs de domaine à l’aide de diverses fonctions de l’API MS-EFSRPC (Microsoft Encrypted File System).

La mise à jour de sécurité de Microsoft n’est pas complète

En raison de la nature critique de cette attaque, Microsoft a publié une mise à jour de sécurité dans le cadre du Patch Tuesday d’août 2021 qui tentait de corriger la vulnérabilité PetitPotam, identifiée comme CVE-2021-36942.

« Un attaquant non authentifié pourrait appeler une méthode sur l’interface LSARPC et contraindre le contrôleur de domaine à s’authentifier auprès d’un autre serveur utilisant NTLM », explique Microsoft dans l’avis de CVE-2021-36942.

Malheureusement, la mise à jour de Microsoft est incomplète, et il est toujours possible d’abuser de PetitPotam.

Dans le cadre de ce correctif, Microsoft a corrigé le vecteur non authentifié pour toutes les fonctions EFSRPC et ne bloque complètement que la négociation forcée pour les fonctions API OpenEncryptedFileRawA et OpenEncryptedFileRawW lorsqu’elles sont appelées via un canal nommé LSARPC.

Un canal nommé est une interface Windows qui permet aux processus sur des systèmes identiques ou différents de communiquer entre eux. Ces canaux nommés exposent des fonctions API qui peuvent être appelées par d’autres processus pour effectuer diverses tâches.

Cependant, la mise à jour de Microsoft n’a pas bloqué la fonction OpenEncryptedFileRawA/OpenEncryptedFileRawWs via le canal nommé MS-EFSRPC, et les acteurs malveillants peuvent toujours abuser d’autres fonctions via LSARPC et EFSRPC.

« Il est possible d’abuser d’au moins trois autres fonctions qu’ils n’ont pas bloqués/corrigés. Certains sur Twitter les ont déjà signalés et peuvent être ‘facilement’ trouvées si les gens les cherchent », a déclaré Lionel récemment.

Depuis lors, Lionel a mis à jour PetitPotam pour prendre en charge les autres fonctions EFSRPC suivantes qui n’ont pas été bloquées par la mise à jour de sécurité de Microsoft:

EfsRpcEncryptFileSrv
EfsRpcDecryptFileSrv
EfsRpcQueryUsersOnFile
EfsRpcQueryRecoveryAgents
EfsRpcRemoveUsersFromFile
EfsRpcAddUsersToFile

De plus, même si Microsoft a résolu le problème non authentifié, il est courant que les acteurs malveillants accèdent aux informations d’identification du réseau qui pourraient toujours être utilisées pour déclencher cette attaque.

Un correctif non officiel corrige ces problèmes non résolus

Pour fournir un correctif plus complet, le service de micropatching 0patch a publié un correctif non officiel mis à jour qui peut être utilisé pour bloquer toutes les attaques de relais NTLM PetitPotam connues sur les versions Windows suivantes:

  1. Windows Server 2019 (mis à jour avec les mises à jour de juillet 2021)
  2. Windows Server 2016 (mis à jour avec les mises à jour de juillet 2021)
  3. Windows Server 2012 R2 (mis à jour avec les mises à jour de juillet 2021)
  4. Windows Server 2008 R2 (mis à jour avec les mises à jour de janvier 2020, pas de mises à jour de sécurité étendues)

Avec ce micropatch, les fonctions sont bloquées dans les canaux nommés LSARPC et EFSRPC et ne peuvent plus être exploitées dans le cadre d’une attaque par relais NTLM.

« Ce que nous avons fait, c’est patcher une seule fonction qui est appelée à partir de toutes ces fonctions et qui est responsable de l’envoi des informations d’identification du système au point de terminaison de l’attaquant », a déclaré le cofondateur de 0patch, Mitja Kolsek.

« Comme avec notre patch précédent, nous avons enfermé cette fonction dans un bloc d’usurpation d’identité, ce qui fait que l’attaquant ne récupère que ses propres informations d’identification au lieu de celles du système. »

Pour ceux qui souhaitent attendre un éventuel patch officiel de Microsoft, vous pouvez également vous défendre contre les attaques PetitPotam en utilisant des filtres NETSH RPC qui bloquent l’accès à distance à l’API MS-EFSRPC.

Laisser un commentaire