PetitPotam vizează domeniile Windows

Tehnica PetitPotam a fost dezvăluită săptămâna trecută, după ce cercetătorul de securitate din Franța, Lionel Gilles a postat pe GitHub o modalitate de exploatare (PoC), pentru a demonstra atacul numit PetitPotam.

Acest tip de atac vizează protocolul MS-EFSRPC (Encrypting File System Remote) care este conceput pentru efectuarea operațiunilor de mentenanță și management a datelor criptate care sunt stocate la distanță și accesate prin rețea. Un atacator poate folosi tehnica PetitPotam pentru a obține conexiunea dintre un server vizat și serverul lor și să efectueze autentificarea NTLM.

PetitPotam poate fi legată de exploatarea Active Directory Certificate Services (AD CS), care oferă funcționalitatea infrastructurii cheii publice (PKI).

Echipa de securitate cibernetică Truesec, a explicat că un atacator poate viza un controler de domeniu pentru a-și trimite credențiale utilizând protocolul MS-EFSRPC, iar apoi poate retransmite credențialele NTLM DC către paginile de servicii de certificare Active Directory Certificate Services AD CS Web Enrollment, pentru a înscrie un certificat DC. Acest lucru va oferi atacatorului un certificat de autentificare care poate fi utilizat pentru a accesa serviciile de domeniu ca DC și a compromite întregul domeniu.

Pentru a preveni atacurile NTLM Relay pe rețelele cu NTLM activat, administratorii de domeniu trebuie să se asigure că serviciile care permit autentificarea NTLM folosesc protecții precum (EPA) sau mecanisme de securitate precum semnarea SMB.

Pentru a evita acest tip de atac, Microsoft recomandă dezactivarea autentificării NTLM pe controlerele de domeniu Windows sau activarea (EPA) pe serviciile AD CS.

Sursa: https://www.securityweek.com/enterprises-warned-new-petitpotam-attack-exposing-windows-domains

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică