Veja como proteger sua rede contra o ataque de retransmissão PetitPotam

Um novo problema de segurança tem incomodado os administradores de redes corporativas depois que o pesquisador de segurança francês Gilles Lionel divulgou um novo ataque de retransmissão NTLM que permite que hackers assumam o controlador de domínio ou outros servidores Windows.

Batizado de PetitPotam, o ataque foi divulgado há poucos dias, com código de prova de conceito.

Oi tudo,
O MS-RPRN para coagir a autenticação da máquina é ótimo, mas o serviço geralmente é desativado hoje em dia pelos administradores na maioria das organizações.
Aqui está uma outra maneira que usamos para obter autenticação de conta de máquina via MS-EFSRPC. Aproveitar!! 🙂https://t.co/AGiS4f6yt8

- topotam (@topotam77) 18 de julho de 2021

A exploração usa o Microsoft Encrypting File System Remote Protocol (EFSRPC) para forçar um dispositivo, incluindo controladores de domínio, a se autenticar em uma retransmissão NTLM remota mal-intencionada, que pode ser usada para roubar hash e certificados e assumir a identidade do dispositivo real e seu privilégios.

A Microsoft não está muito alarmada, no entanto, dizendo:

A Microsoft está ciente do PetitPotam, que pode ser usado em um ataque a controladores de domínio do Windows ou outros servidores do Windows. PetitPotam é um clássico ataque de revezamento NTLM, e esses ataques foram documentados anteriormente pela Microsoft, juntamente com várias opções de mitigação para proteger os clientes. Por exemplo, veja Aviso de segurança da Microsoft 974926.

Para evitar ataques de retransmissão NTLM em redes com NTLM habilitado, os administradores de domínio devem garantir que os serviços que permitem a autenticação NTLM usem proteções como Proteção Estendida para Autenticação (EPA) ou recursos de assinatura, como assinatura SMB. PetitPotam aproveita os servidores onde os Serviços de Certificados do Active Directory (AD CS) não estão configurados com proteções para ataques de retransmissão NTLM. As mitigações descritas em KB5005413 instrua os clientes sobre como proteger seus servidores AD CS desses ataques.

Você está potencialmente vulnerável a esse ataque se a autenticação NTLM estiver habilitada em seu domínio e você estiver usando os Serviços de Certificados do Active Directory (AD CS) com qualquer um dos seguintes serviços:

• Inscrição na Web da Autoridade de Certificação
• Serviço Web de Inscrição de Certificado

A solução simples é, portanto, desabilitar o NTLM onde não for necessário, por exemplo, controladores de domínio, ou habilitar o mecanismo de Proteção Estendida para Autenticação ou habilitar a autenticação NTLM para usar recursos de assinatura, como a assinatura SMB.

Assim como o PrintNightmare, este pode ser apenas o primeiro capítulo da saga PetitPotam, já que Gilles Lionel disse ao BleepingComputer que o PetitPotam permite outros ataques, como um ataque de downgrade para NTLMv1 que usa o Data Encryption Standard (DES) – um algoritmo inseguro devido ao seu curto , geração de chave de 56 bits que facilita a recuperação de um hash de senha, permitindo um ataque de escalação de privilégio local.

A Microsoft também não abordou o protocolo EFSRPC usado no ataque.

Leia o comunicado da Microsoft SUA PARTICIPAÇÃO FAZ A DIFERENÇA e mais em BleepingComputer.