Origine: bjCSIRT

Numéro: 2021/ALERTE/033

Date de l’alerte: 27/07/2021

APERÇU :

Une nouvelle attaque de relais NTLM a récemment été découverte sur les contrôleurs de domaine Windows. Un exploit réussi permettrait aux acteurs malveillants de prendre le contrôle du contrôleur de domaine Windows.

DESCRIPTION :

Active Directory Certificates Services (AD CS) est un serveur d’infrastructure à clé publique (PKI) qui est utilisé pour authentifier les utilisateurs, les services et les machines sur un domaine Windows.

La faille surnommée PetitPotam fonctionne en obligeant les hôtes Windows à s’authentifier auprès d’autres machines via la fonction « MS-EFSRPC EfsRpcOpenFileRaw ».

 Encrypting File System Remote (MS-EFSRPC) est le protocole Microsoft utilisé pour effectuer des opérations de maintenance et de gestion sur des données cryptées stockées à distance et accessibles via un réseau.

L’exploit de PetitPotam permettrait à un attaquant d’envoyer des requêtes SMB à l’interface MS-EFSRPC d’un système distant et de forcer l’ordinateur victime à lancer une procédure d’authentification et à partager ses détails d’authentification. L’attaquant pourrait ensuite collecter ces données et en utiliser dans le cadre d’une attaque par relais NTLM afin d’accéder à des systèmes distants sur le même réseau interne.

PetitPotam tire parti des serveurs où les services de certificats Active Directory ne sont pas configurés avec des protections contre les attaques par relais NTLM. Une exploitation réussie de cette attaque permettrait à un attaquant de prendre le contrôle du contrôleur de domaine.

IMPACT :

  • Corruption de système
  • Prise de contrôle sur le contrôleur de domaine

SYSTEMES AFFECTÉS :

Toutes les versions de Microsoft Windows servant de contrôleur de domaine.

MESURES À PRENDRE :

Pour empêcher les attaques par relais NTLM sur les réseaux sur lesquels NTLM est activé, les services qui autorisent l’authentification NTLM devraient utiliser des protections telles que la protection étendue pour l’authentification (EPA) ou des fonctionnalités de signature telles que la signature SMB.

Il est recommandé de :

  • désactiver NTLM en cas de non utilisation  ;
  • mettre en place les mesures de protection de Microsoft KB5005413.

REFERENCES :

  • https://thehackernews.com/2021/07/new-petitpotam-ntlm-relay-attack-lets.html
  • https://www.bleepingcomputer.com/news/microsoft/new-petitpotam-attack-allows-take-over-of-windows-domains/
  • https://isc.sans.edu/diary/27668
  • https://securityaffairs.co/wordpress/120489/hacking/windows-petitpotam-attack.html
  • https://support.microsoft.com/fr-fr/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

Partagez sur vos réseaux.