Los investigadores de seguridad han ideado una forma de bloquear el vector de ataque PetitPotam recientemente revelado que permite a los piratas informáticos tomar fácilmente el control de un controlador de dominio de Windows.
El mes pasado, el investigador de seguridad GILLES Lionel reveló un nuevo método llamado PetitPotam que obliga a una máquina con Windows, incluido un controlador de dominio de Windows, a autenticarse contra el servidor de retransmisión NTLM malicioso de un actor de amenazas utilizando el protocolo de cifrado remoto de Microsoft.EFSRPC).
Luego, los actores de la amenaza pasarían esta solicitud de autenticación a los servicios de certificados de Active Directory de un dominio objetivo a través de HTTP, donde al atacante se le proporcionaría un vale de concesión de boletos de Kerberos (TGT), lo que les permitiría asumir la identidad del controlador de dominio.
Después de que se reveló el vector, los investigadores rápidamente comenzaron a probar el método e ilustraron lo fácil que era descargar credenciales y adquirir un dominio de Windows.
Con este ataque, un actor de amenazas puede tomar el control total sobre un dominio de Windows, incluido el envío de nuevas políticas de grupo, scripts y la distribución de malware a todos los dispositivos, como el ransomware.
La semana pasada, Microsoft publicó un aviso titulado “Mitigación de ataques de retransmisión NTLM en Servicios de certificados de Active Directory (AD CS)’, que explica cómo mitigar los ataques de reenvío NTLM.
“Para evitar ataques de reenvío NTLM en redes con NTLM habilitado, los administradores de dominio deben asegurarse de que los servicios que permiten la autenticación NTLM utilicen protecciones como Protección extendida para autenticación (EPA) o capacidades de firma como la firma de SMB “, explica el aviso de Microsoft.
“PetitPotam aprovecha los servidores donde Active Directory Certificate Services (AD CS) no está configurado con protecciones para ataques de reenvío NTLM. Las mitigaciones descritas en KB5005413* educar a los clientes sobre cómo proteger sus servidores AD CS de tales ataques “.
Si bien las recomendaciones de Microsoft pueden prevenir los ataques de reenvío NTLM, no brindan ninguna orientación sobre el bloqueo de PetitPotam, que puede usarse como un vector para otros ataques.
“También se puede usar para varios ataques, como la degradación de NTLMv1 y el reenvío de cuentas de máquinas en computadoras donde esta cuenta de máquina es el administrador local”, dijo Lionel a BleepingComputer cuando reveló por primera vez el vector de ataque.
La respuesta de Microsoft a vulnerabilidades recientes, como PetitPotam, SeriousSAM y PrintNightmare, ha sido de gran preocupación para los investigadores de seguridad que creen que Microsoft no está haciendo lo suficiente para proteger a sus clientes.
La buena noticia es que los investigadores han encontrado una forma de bloquear el vector de ataque remoto PetitPotam no autenticado utilizando filtros NETSH sin afectar la funcionalidad EFS local.
