PetitPotam, une nouvelle vulnérabilité facilitant l’exploitation d’attaques par relai NTLM

PetitPotam, une nouvelle vulnérabilité facilitant l’exploitation d’attaques par relai NTLM

Une nouvelle vulnérabilité, nommée PetitPotam d’après le pseudonyme de son créateur, a été découverte et affecte les serveurs Windows. Son exploitation permet à un attaquant non authentifié et présent sur le réseau local d’usurper l’identité d’un serveur ciblé.

La faille de sécurité provient d’une vulnérabilité au sein du protocole Encrypting File System Remote (EFSRPC) exposé par défaut sur le port TCP/445. En utilisant la fonction EfsRpcOpenFileRaw, un attaquant non authentifié est en mesure de forcer une machine distante à s’authentifier auprès d’une machine qu’il contrôle, lui permettant ainsi de récupérer une requête d’authentification valide.

Il est ensuite possible d’utiliser cette requête pour s’authentifier auprès d’un serveur Active Directory Certificate Services (ADCS) et ainsi, réaliser une attaque par relai NTLM. Il peut ainsi obtenir un certificat valide lui permettant d’usurper l’identité du serveur ciblé sur tout le domaine.

Un attaquant peut ainsi utiliser l’accès récupéré afin d’utiliser des outils de post-exploitation pour compromettre totalement le domaine.

De plus, plusieurs codes rendant l’exploitation de cette vulnérabilité triviale ont été publiés. Le code publié par Lionel Gilles, le chercheur ayant découvert cette vulnérabilité, est un script écrit en Python. En ciblant un serveur vulnérable (et exposant le service EFSRPC) avec le script, un attaquant non authentifié sera en mesure d’usurper l’identité du serveur auprès d’autres services du domaine.

En réponse à cette publication, Microsoft a communiqué au travers d’un article que cette vulnérabilité n’était en fait qu’une attaque par relai NTLM classique, et que les solutions de contournement afin de se prémunir de cette dernière sont connues. De plus, Microsoft a publié un guide détaillant plusieurs solutions de contournement, permettant de se prémunir contre cette attaque.

Microsoft recommande ainsi la désactivation du protocole NTLM, particulièrement sur les serveurs utilisant le service ADCS. Si cette dernière n’est pas applicable, Microsoft recommande de mettre en place le protocole de protection Extended Protection for Authentication (EPA) sur le service ADCS ainsi que d’activer la fonctionnalité de signature SMB.

Bien que Microsoft ne considère pas cette vulnérabilité comme une nouvelle vulnérabilité à part entière, cette dernière permet de grandement simplifier l’exploitation d’une attaque par relai NTLM. Ainsi, le CERT-XMCO recommande d’appliquer au plus vite les recommandations partagées par Microsoft.

Références

PetitPotam
Security Advisory – ADV210003
Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)
Enterprises Warned of New PetitPotam Attack Exposing Windows Domains
Active Directory Certificate Services (ADCS – PKI) domain admin vulnerability



Noé Zalic

Analyste CERT-XMCO