Tecnología

El nuevo ataque PetitPotam permite hacerse cargo de los dominios de Windows

Microsoft

Se ha descubierto un nuevo ataque de restreaming NTLM llamado PetitPotam que permite a los actores de amenazas hacerse cargo de un controlador de dominio y, por lo tanto, de todo un dominio de Windows.

Muchas organizaciones utilizan Microsoft Active Directory Certificate Services, que es un servidor de infraestructura de clave pública (PKI) que se puede utilizar para autenticar usuarios, servicios y máquinas en un dominio de Windows.

En el pasado, los investigadores descubrieron un método para obligar a un controlador de dominio a autenticarse contra un relé NTLM malintencionado que luego reenviaría la solicitud a los Servicios de certificados de Active Directory de un dominio a través de HTTP.

En última instancia, al atacante se le otorgaría un vale de concesión de vale de Kerberos (TGT) que le permitiría asumir la identidad de cualquier dispositivo en la red, incluido un controlador de dominio.

Para forzar a la máquina a realizar la autenticación en un servidor remoto, un atacante podría usar el RpcRemoteFindFirstPrinterChangeNotification función de la API de impresión MS-RPRN.

«Print Spooler de Microsoft es un servicio que maneja los trabajos de impresión y otras tareas relacionadas con la impresión. Un atacante que controla un usuario de dominio / ordenador puede, con una llamada RPC específica, activar el servicio de spooler de un objetivo que lo ejecuta y hacer que se autentique en un objetivo elegido por el atacante, «un entrada en el blog en Hacker.recipes explica.

«Este defecto es un» no se solucionará «y está habilitado de forma predeterminada en todos los entornos de Windows».

Si este ataque tiene éxito, el atacante podría hacerse cargo del controlador de dominio y ejecutar cualquier comando que desees, asumiendo efectivamente el dominio de Windows.

Desde que se reveló este ataque, muchas organizaciones han desactivado MS-RPRN para bloquear el vector de ataque.

Presentamos PetitPotam

Esta semana, el investigador de seguridad francés GILLES Lionel, alias Topotam, reveló una nueva técnica llamada ‘PetitPotam’ que realiza un ataque de restreaming NTLM que no se basa en la API MS-RPRN, sino que utiliza la función EfsRpcOpenFileRaw del MS-EFSRPC API.

MS-EFSRPC es el protocolo remoto del sistema de archivos cifrados de Microsoft que se utiliza para realizar «operaciones de mantenimiento y administración en datos cifrados que se almacenan de forma remota y se accede a ellos a través de una red».

Lionel ha lanzado un guión de prueba de concepto para la técnica PetitPotam en GitHub que se puede usar para forzar a un controlador de dominio a autenticarse contra un NTLM remoto bajo el control de un atacante usando la API MS-EFSRPC.

En una conversación con Bleeping Computer sobre el nuevo método de ataque de restreaming, Lionel declaró que no ve esto como una vulnerabilidad, sino más bien como un abuso de una función legítima.

«En mi opinión, esto no es una vulnerabilidad, sino un abuso de una función legítima. Función que no debería usar la cuenta de la máquina para autenticarse como en el error de impresora, por ejemplo», compartió Lionel con BleepingComputer.

Además del ataque que retransmite la autenticación SMB a un servidor de inscripción de certificados HTTP que permite el control total del controlador de dominio, Lionel dijo que podría usarse para otros ataques.

Estos ataques adicionales incluyen «degradación de NTLMv1 y restreaming de la cuenta de la máquina en las ordenadores donde esta cuenta de la máquina es un administrador local (SCCM, servidor de intercambio, a menudo se encuentran en esta situación, por ejemplo).

El investigador dice que la única forma de mitigar esta técnica es deshabilitar la autenticación NTLM o habilitar protecciones, como la firma SMB, la firma LDAP y el enlace de canales.

Desafortunadamente, no se ha encontrado ninguna forma de deshabilitar el uso de EfsRpcOpenFileRaw para retransmitir solicitudes de autenticación.

Lionel nos dijo que detener el servicio EFS no evita que se explote la técnica.

Bleeping Computer se ha puesto en contacto con Microsoft sobre este nuevo ataque, pero no ha recibido respuesta en este momento.

PetitPotam es ‘brutal’

Desde el lanzamiento de PetitPotam, los investigadores de seguridad se han apresurado a probar el PoC y su eficacia.

«Finalmente terminé de probarlo, ¡es bastante brutal! Acceso a la red para la adquisición completa de AD … Realmente subestimé el impacto de la restreaming NTLM en PKI ESC8 ¡La combinación con PetitPotam es increíble!» tuiteó investigador de seguridad Rémi Escourrou.

«En realidad, no hay forma de bloquear PetitPotam (que yo sepa) pero se puede fortalecer el servicio HTTP de la PKI para evitar la restreaming NTLM», dijo Escourrou a Bleeping Computer en una conversación anoche.

Investigador de seguridad y creador de Mimikatz Benjamín Delpy También probó la nueva técnica, donde creó un video, que se muestra a continuación, demostrando cómo los actores de amenazas pueden abusar de ella.

Leave a Comment

You may also like

Más