Tecnología

Nuevo parche no oficial de Windows corrige más vectores de ataque PetitPotam

Seguridad de Windows

Se ha lanzado un segundo parche no oficial para el ataque de restreaming de Windows PetitPotam NTLM para solucionar otros problemas que no se abordan en la actualización de seguridad oficial de Microsoft.

Un ataque de restreaming NTLM es cuando un actor de amenazas puede obligar a un servidor o controlador de dominio a autenticarse contra un servidor de restreaming NTLM bajo el control de un actor de amenazas.

Esta restreaming NTLM luego reenviaría la solicitud a los Servicios de certificados de Active Directory de una víctima objetivo a través de HTTP para recibir un vale de concesión de boletos de Kerberos (TGT), que permite al atacante asumir la identidad del controlador de dominio y hacerse cargo del dominio de Windows.

En el pasado, ha habido numerosas formas de obligar a un controlador de dominio a autenticarse contra el servidor de restreaming de un actor de amenazas, como la API de impresión MS-RPRN, que Microsoft ha corregido.

En julio, el investigador de seguridad GILLES Lionel, alias Topotam, reveló una nueva técnica llamada ‘PetitPotam’ que realiza autenticación forzada no autenticada en controladores de dominio utilizando varias funciones en el MS-EFSRPC (Sistema de archivos cifrados de Microsoft) API.

La actualización de seguridad de Microsoft no está completa

Debido a la naturaleza crítica de este ataque, Microsoft lanzó una actualización de seguridad como parte del parche de agosto de 2021 el martes que intentó corregir la vulnerabilidad PetitPotam, rastreada como CVE-2021-36942.

«Un atacante no autenticado podría llamar a un método en la interfaz LSARPC y obligar al controlador de dominio a autenticarse contra otro servidor usando NTLM», explica Microsoft en el Aviso CVE-2021-36942.

Desafortunadamente, la actualización de Microsoft está incompleta y aún es posible abusar de PetitPotam.

Como parte de este parche, Microsoft corrigió el vector no autenticado para todas las funciones de EFSRPC y solo bloquea completamente la negociación forzada para el OpenEncryptedFileRawA otro OpenEncryptedFileRawW Funciones de la API cuando se llama a través de una canalización con nombre LSARPC.

Una tubería con nombre es una interfaz de Windows que permite que los procesos en el mismo o en diferentes sistemas se comuniquen entre sí. Estas canalizaciones con nombre exponen funciones de API que pueden ser invocadas por otros procesos para realizar diversas tareas.

Sin embargo, la actualización de Microsoft no bloqueó la función OpenEncryptedFileRawA / OpenEncryptedFileRawWs a través de la tubería con nombre MS-EFSRPC, y los actores de amenazas aún pueden abusar de otras funciones a través de LSARPC y EFSRPC.

«Se puede abusar de al menos otras tres funciones que no bloquearon / parchearon. Algunas en Twitter ya las señalaron y se pueden encontrar» fácilmente «si la gente las busca», dijo Lionel a BleepingComputer la semana pasada.

Desde entonces, Lionel ha actualizado PetitPotam para admitir las siguientes funciones de EFSRPC que no fueron bloqueadas por la actualización de seguridad de Microsoft:

EfsRpcEncryptFileSrv
EfsRpcDecryptFileSrv
EfsRpcQueryUsersOnFile
EfsRpcQueryRecoveryAgents
EfsRpcRemoveUsersFromFile
EfsRpcAddUsersToFile

Además, aunque Microsoft solucionó el problema no autenticado, es común que los actores de amenazas obtengan acceso a las credenciales de red que aún podrían usarse para desencadenar este ataque.

El parche no oficial corrige estos problemas no resueltos

Para proporcionar un parche más completo, el Servicio de microparches 0patch ha lanzado un parche no oficial actualizado que se puede usar para bloquear todos los ataques de restreaming NTLM de PetitPotam conocidos en las siguientes versiones de Windows:

  1. Windows Server 2019 (actualizado con actualizaciones de julio de 2021)
  2. Windows Server 2016 (actualizado con actualizaciones de julio de 2021)
  3. Windows Server 2012 R2 (actualizado con actualizaciones de julio de 2021)
  4. Windows Server 2008 R2 (actualizado con las actualizaciones de enero de 2020, sin actualizaciones de seguridad extendidas)

Con este microparche, las funciones se bloquean en las canalizaciones con nombre LSARPC y EFSRPC y ya no se pueden explotar como parte de un ataque de restreaming NTLM.

«Lo que hicimos fue parchear solo una función que se llama desde todos estos y es responsable de enviar las credenciales del sistema al punto final del atacante», cofundador del parche 0 Mitja Kolsek dijo a Bleeping Computer.

«Al igual que con nuestro parche anterior, incluimos esta función en un bloque de suplantación, lo que hace que el atacante solo recupere sus propias credenciales en lugar de las del sistema».

Para aquellos que deseesn esperar un posible parche oficial de Microsoft, también pueden defenderse de los ataques de PetitPotam utilizando filtros NETSH RPC que bloquean el acceso remoto a la API MS-EFSRPC.

Leave a Comment

You may also like

Más