Voici comment protéger votre réseau contre l'attaque relais PetitPotam

Un nouveau problème de sécurité a troublé les administrateurs de réseau d'entreprise après que le chercheur français en sécurité Gilles Lionel a révélé une nouvelle attaque de relais NTLM qui permet aux pirates de prendre le contrôle du contrôleur de domaine ou d'autres serveurs Windows.

Baptisée PetitPotam, l'attaque a été dévoilée il y a quelques jours, permise avec du code Proof of Concept.

Salut à tous,
MS-RPRN pour contraindre l'authentification de la machine est génial, mais le service est souvent désactivé de nos jours par les administrateurs de la plupart des orgz.
Voici une autre façon que nous utilisons pour obtenir l'authentification du compte machine via MS-EFSRPC. Prendre plaisir!! 🙂https://t.co/AGiS4f6yt8

– topotam (@topotam77) 18 juillet 2021

L'exploit utilise Microsoft Encrypting File System Remote Protocol (EFSRPC) pour forcer un appareil, y compris les contrôleurs de domaine, à s'authentifier auprès d'un relais NTLM distant malveillant, qui peut ensuite être utilisé pour voler le hachage et les certificats et assumer l'identité de l'appareil réel et de son privilèges.

Microsoft n'est pas trop alarmé, cependant, en disant :

Microsoft a connaissance de PetitPotam qui peut potentiellement être utilisé dans une attaque contre les contrôleurs de domaine Windows ou d'autres serveurs Windows. PetitPotam est une attaque de relais NTLM classique, et de telles attaques ont déjà été documentées par Microsoft avec de nombreuses options d'atténuation pour protéger les clients. Par exemple, voir Avis de sécurité Microsoft 974926.

Pour empêcher les attaques de relais NTLM sur les réseaux avec NTLM activé, les administrateurs de domaine doivent s'assurer que les services qui autorisent l'authentification NTLM utilisent des protections telles que Protection étendue pour l'authentification (EPA) ou des fonctionnalités de signature telles que la signature SMB. PetitPotam tire parti des serveurs où les services de certificats Active Directory (AD CS) ne sont pas configurés avec des protections contre les attaques de relais NTLM. Les mesures d'atténuation décrites dans KB5005413 expliquer aux clients comment protéger leurs serveurs AD CS contre de telles attaques.

Vous êtes potentiellement vulnérable à cette attaque si l'authentification NTLM est activée dans votre domaine et que vous utilisez les services de certificats Active Directory (AD CS) avec l'un des services suivants :

• Inscription Web de l'autorité de certification
• Service Web d'inscription de certificat

La solution simple consiste donc à désactiver NTLM là où il n'est pas nécessaire, par exemple les contrôleurs de domaine, ou à activer le mécanisme de protection étendue pour l'authentification ou à activer l'authentification NTLM pour utiliser des fonctionnalités de signature telles que la signature SMB.

Comme PrintNightmare, ce n'est peut-être que le premier chapitre de la saga PetitPotam, puisque Gilles Lionel a déclaré à BleepingComputer que PetitPotam permet d'autres attaques, comme une attaque de déclassement vers NTLMv1 qui utilise le Data Encryption Standard (DES) - un algorithme non sécurisé en raison de sa courte durée. , génération de clé 56 bits qui facilite la récupération d'un hachage de mot de passe, permettant une attaque locale d'escalade de privilèges.

Microsoft n'a pas non plus abordé le protocole EFSRPC utilisé dans l'attaque.

Lire l'avis de Microsoft iciet une plus sur BleepingComputer.