Nový PetitPotam NTLM reléový útok umožňuje hackerom prevziať kontrolu Windows domény

Novo odhalená bezpečnostná chyba v Windows operačný systém možno zneužiť na vynútenie diaľkového ovládania Windows servery, vrátane radičov domén, na autentifikáciu so škodlivým cieľom, čím umožní protivníkovi uskutočniť NTLM reléový útok a úplne prevziať Windows domény.

Problém s názvom „PetitPotam“ objavil bezpečnostný výskumník Gilles Lionel, ktorý sa minulý týždeň podelil o technické podrobnosti a kód proof-of-concept (PoC), pričom poznamenal, že chyba funguje tak, že „Windows hostiteľov na autentifikáciu na iných počítačoch prostredníctvom funkcie MS-EFSRPC EfsRpcOpenFileRaw.”

MS-EFSRPC je vzdialený protokol Encrypting File System od spoločnosti Microsoft, ktorý sa používa na vykonávanie „operácií údržby a správy šifrovaných údajov, ktoré sú uložené vzdialene a ku ktorým sa pristupuje cez sieť“.

Útok konkrétne umožňuje doménovému radiču overiť sa voči vzdialenému NTLM pod kontrolou zlého aktéra pomocou rozhrania MS-EFSRPC a zdieľať svoje overovacie informácie. To sa vykonáva pripojením k LSARPC, čo vedie k scenáru, kde sa cieľový server pripája k ľubovoľnému serveru a vykonáva autentifikáciu NTLM.

Prinútením cieľového počítača, aby spustil autentifikačnú procedúru a zdieľal svoje hashované heslá prostredníctvom NTLM, možno útok PetitPotam spojiť so zacielením na zneužitie. Windows Active Directory Certificate Services (AD CS) na prevzatie kontroly nad celou doménou.

„Útočník sa môže zamerať na radič domény, aby odoslal svoje poverenia pomocou protokolu MS-EFSRPC a potom odoslaním poverení DC NTLM na stránky Active Directory Certificate Services AD CS Web Enrollment, aby zaregistroval DC certifikát,“ povedal Hasain Alshakarti z TRUESEC. „Útočníkovi tak efektívne poskytnete autentifikačný certifikát, ktorý možno použiť na prístup k doménovým službám ako DC a kompromitovať celú doménu.

Aj keď zakázanie podpory pre MS-EFSRPC nezabráni fungovaniu útoku, spoločnosť Microsoft odvtedy vydala zmiernenie problému, pričom charakterizuje „PetitPotam“ ako „klasický NTLM prenosový útok“, ktorý umožňuje útočníkom s prístupom k sieti zachytiť legitímne autentizačný prenos medzi klientom a serverom a odoslanie týchto overených požiadaviek na overenie za účelom prístupu k sieťovým službám.

“Aby sa predišlo NTLM Relay Attack v sieťach s povoleným NTLM, správcovia domény musia zabezpečiť, aby služby, ktoré povoľujú autentifikáciu NTLM, využívali ochranu, ako je napríklad rozšírená ochrana pre autentifikáciu (EPA) alebo podpisové funkcie, ako je podpisovanie SMB,” poznamenal Microsoft. “PetitPotam využíva servery, na ktorých nie sú služby Active Directory Certificate Services (AD CS) nakonfigurované s ochranou pre NTLM Relay Attacks.”

Na ochranu pred touto líniou útoku, Windows výrobca odporúča zákazníkom vypnúť overovanie NTLM na radiči domény. V prípade, že NTLM nemožno vypnúť z dôvodu kompatibility, spoločnosť vyzýva používateľov, aby vykonali jeden z dvoch krokov uvedených nižšie –

  • Zakážte NTLM na všetkých serveroch AD CS vo vašej doméne pomocou skupinovej politiky Zabezpečenie siete: Obmedzte NTLM: Prichádzajúcu prevádzku NTLM.
  • Zakázať NTLM pre Internetové informačné služby (IIS) na serveroch AD CS v doméne so službami „Webová registrácia certifikačnej autority“ alebo „Webová služba registrácie certifikátu“

PetitPotam označuje tretiu hlavnú Windows bezpečnostný problém odhalený za posledný mesiac po zraniteľnostiach PrintNightmare a SeriousSAM (aka HiveNightmare).