El nuevo ataque de retransmisión NTLM de PetitPotam permite a los piratas informáticos hacerse cargo de los dominios de Windows

Ataque de retransmisión NTLM de PetitPotam

Una falla de seguridad recientemente descubierta en el sistema operativo Windows puede explotarse para obligar a los servidores remotos de Windows, incluidos los controladores de dominio, a autenticarse con un destino malicioso, lo que permite que un adversario realice un ataque de retransmisión NTLM y se apodere por completo de un dominio de Windows.

El problema, denominado «PetitPotam», fue descubierto por el investigador de seguridad Gilles Lionel, quien compartió detalles técnicos y un código de prueba de concepto (PoC) la semana pasada, y señaló que la falla funciona al obligar a «los hosts de Windows a autenticarse en otras máquinas a través de MS -Función EFSRPC EfsRpcOpenFileRaw».

MS-EFSRPC es el protocolo remoto del sistema de cifrado de archivos de Microsoft que se utiliza para realizar «operaciones de mantenimiento y administración en datos cifrados que se almacenan de forma remota y se accede a ellos a través de una red».

Específicamente, el ataque permite que un controlador de dominio se autentique contra un NTLM remoto bajo el control de un mal actor mediante la interfaz MS-EFSRPC y comparta su información de autenticación. Esto se hace conectándose a LSARPC, lo que da como resultado un escenario en el que el servidor de destino se conecta a un servidor arbitrario y realiza la autenticación NTLM.

Al obligar a la computadora objetivo a iniciar un procedimiento de autenticación y compartir sus contraseñas cifradas a través de NTLM, el ataque PetitPotam se puede encadenar a un exploit dirigido a los Servicios de certificados de Windows Active Directory (AD CS) para tomar el control de todo el dominio.

«Un atacante puede apuntar a un controlador de dominio para enviar sus credenciales utilizando el protocolo MS-EFSRPC y luego transmitir las credenciales DC NTLM a las páginas de inscripción web AD CS de Active Directory Certificate Services para inscribir un certificado DC», dijo Hasain Alshakarti de TRUESEC. «Esto le dará al atacante un certificado de autenticación que puede usarse para acceder a los servicios del dominio como DC y comprometer todo el dominio.

Si bien deshabilitar la compatibilidad con MS-EFSRPC no detiene el funcionamiento del ataque, desde entonces Microsoft ha emitido mitigaciones para el problema, al tiempo que caracteriza a «PetitPotam» como un «ataque de retransmisión NTLM clásico», que permite a los atacantes con acceso a una red interceptar correos legítimos. tráfico de autenticación entre un cliente y un servidor y retransmitir esas solicitudes de autenticación validadas para acceder a los servicios de red.

«Para evitar los ataques de retransmisión NTLM en redes con NTLM habilitado, los administradores de dominio deben asegurarse de que los servicios que permiten la autenticación NTLM utilicen protecciones como la Protección extendida para la autenticación (EPA) o funciones de firma como la firma SMB», señaló Microsoft. «PetitPotam aprovecha los servidores donde los servicios de certificados de Active Directory (AD CS) no están configurados con protecciones para ataques de retransmisión NTLM».

Para protegerse contra esta línea de ataque, el fabricante de Windows recomienda que los clientes deshabiliten la autenticación NTLM en el controlador de dominio. En caso de que NTLM no se pueda desactivar por motivos de compatibilidad, la empresa insta a los usuarios a seguir uno de los dos pasos siguientes:

  • Deshabilite NTLM en cualquier servidor AD CS de su dominio mediante la política de grupo Seguridad de red: Restringir NTLM: tráfico NTLM entrante.
  • Deshabilite NTLM para Internet Information Services (IIS) en servidores AD CS en el dominio que ejecuta los servicios «Inscripción web de la autoridad de certificación» o «Servicio web de inscripción de certificados»

PetitPotam marca el tercer gran problema de seguridad de Windows revelado durante el último mes después de las vulnerabilidades PrintNightmare y SeriousSAM (también conocido como HiveNightmare).

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática