A Microsoft publicou mitigações para o ataque PetitPotam recentemente descoberto, que permite aos invasores forçar as máquinas Windows remotas a compartilhar seus hashes de senha.
Há alguns dias, o pesquisador de segurança Gilles Lionel (também conhecido como Topotam) descobriu uma vulnerabilidade no Sistema Operacional Windows que permite que um invasor force máquinas Windows remotas a se autenticar e compartilhar seus hashes de senha com ele.
O ataque abusa do protocolo Encrypting File System Remote (EFSRPC), que é usado para realizar operações de manutenção e gerenciamento em dados criptografados que são armazenados remotamente e acessados através de uma rede.
A técnica PetitPotam pode impactar potencialmente a maioria das versões do Windows com suporte, ela foi testada com sucesso nos sistemas Windows 10, Windows Server 2016 e Windows Server 2019.
Lionel também publicou um código de exploração de prova de conceito (PoC) no GitHub.
No ataque PetitPotam demonstrado pelo especialista, ele enviou solicitações SMB para a interface MS-EFSRPC de um sistema remoto e forçou seu sistema a iniciar um procedimento de autenticação e compartilhar seu hash de autenticação NTLM.
O hash de autenticação NTLM pode ser usado para realizar um ataque de retransmissão ou pode ser quebrado recentemente para obter a senha da vítima. O ataque PetitPotam pode ser muito perigoso, porque pode permitir que invasores assumam um controlador de domínio e comprometer toda a organização.
Após a divulgação da técnica de ataque PetitPotam, a Microsoft publicou um comunicado de segurança que inclui atenuações para essa técnica.
A empresa destacou que o PetitPotam é um clássico NTLM Relay Attack, uma categoria de ataque profundamente documentada pela gigante de TI. A Microsoft afirma que os administradores de domínio devem proteger os serviços que permitem a autenticação NTLM para evitar ataques de retransmissão NTLM em redes com NTLM habilitado. Confira o guia de mitigações publicado pela Microsoft clicando aqui.
“A Microsoft está ciente do PetitPotam, que pode ser potencialmente usado em um ataque a controladores de domínio do Windows ou outros servidores Windows. PetitPotam é um NTLM Relay Attack clássico, e tais ataques foram documentados anteriormente pela Microsoft junto com várias opções de mitigação para proteger os clientes. Por exemplo, consulte o Comunicado de Segurança da Microsoft 974926. ” diz o comunicado.
Organizações que têm a autenticação NTLM ativada em seu domínio e que usam os Serviços de Certificados do Active Directory (AD CS) com qualquer um dos seguintes serviços:
• Inscrição na Web da autoridade de certificação
• Serviço da Web para inscrição de certificado
estão mais expostos.
A Microsoft recomenda desativar o NTLM se não for necessário ou ativar o Extended Protection for Authentication (EPA) para proteger as credenciais em máquinas Windows.
Alguns especialistas criticaram as atenuações compartilhadas pela Microsoft, porque não abordam explicitamente o abuso do protocolo EFSRPC.
Fonte: Microsoft publishes mitigations for the PetitPotam attack
Posts relacionados: Microsoft lança atualizações de segurança para Windows 10 e Windows Server / Ataques ao Exchange Server: Microsoft faz comentários pós-comprometimento e Ferramenta de detecção IOC da Microsoft para vulnerabilidades do Exchange Server