image

Microsoft waarschuwt voor PetitPotam-aanval op Windows-domeincontrollers

maandag 26 juli 2021, 11:34 door Redactie, 4 reacties

Microsoft heeft een waarschuwing gegeven voor een nieuwe aanval genaamd PetitPotam waarmee Windows-domeincontrollers kunnen worden overgenomen en daarmee het gehele Windows-domein van een organisatie. PetitPotam is ontwikkeld door beveiligingsonderzoeker Gilles Lionel en maakt gebruik van het Encrypting File System Remote (EFSRPC) protocol van Windows. Via dit protocol is het mogelijk om versleutelde data te bewerken die op remote is opgeslagen en toegankelijk via het netwerk is.

Via het MS-EFSRPC-protocol is het mogelijk om willekeurige Windows-machines, waaronder de domeincontroller, zich bij een specifieke bestemming te laten authenticeren. Deze bestemming stuurt vervolgens de NTLM-credentials van deze systemen door naar een andere dienst die de NTLM-credentials accepteert, waardoor er verder misbruik mogelijk is.

Bij de PetitPotam-aanval kan een aanvaller via het MS-EFSRPC-protocol een domeincontroller zover krijgen dat die diens credentials terugstuurt naar de aanvaller, die ze vervolgens doorstuurt naar Microsoft Active Directory Certificate Services. Daar kan de aanvaller een DC-certificaat toevoegen waarmee er als domeincontroller toegang tot domeinservices kan worden verkregen en het mogelijk is om het gehele domein te compromitteren, meldt securitybedrijf Truesec.

Volgens Microsoft betreft het een klassieke NTLM-relay-aanval en zijn Windows Server 2008 tot en met Windows Server versie 20H2 kwetsbaar. Voorwaarde is wel dat Certificate Authority Web Enrollment of de Certificate Enrollment Web Service staan ingeschakeld. Het techbedrijf laat verder weten dat organisaties al eerder genoemde maatregelen tegen NTLM-relay-aanvallen kunnen nemen, zoals Extended Protection for Authentication (EPA) en SMB signing.

In het geval van PetitPotam wordt er volgens Microsoft misbruik gemaakt van servers waar Active Directory Certificate Services (AD CS) niet geconfigureerd zijn met bescherming tegen NTLM-relay-aanvallen. In dit artikel staan mitigaties die AD CS-servers tegen dergelijke aanvallen moeten beschermen, aldus het techbedrijf. Daarnaast wordt ook het uitschakelen van NTLM-authenticatie geadviseerd.

Reacties (4)
26-07-2021, 11:54 door Erik van Straten
Het advies van Microsoft mitigeert maar één van de mogelijke attack vectors, zie https://isc.sans.edu/forums/diary/Active+Directory+Certificate+Services+ADCS+PKI+domain+admin+vulnerability/27668/ voor meer info en aanvullende maatregelen.
26-07-2021, 13:45 door Bitje-scheef
Potato-tam = Redmond.
26-07-2021, 16:44 door Anoniem
Let op, de mitigatie is niet geheel voldoende.... het gaat ook wat verder dan alleen die ADCS:


https://www.bleepingcomputer.com/news/security/microsoft-shares-mitigations-for-new-petitpotam-ntlm-relay-attack/


"Microsoft's advisory is clear about the action to prevent NTLM relay attacks but does not address the abuse of the MS-EFSRPC API, which would need a security update to fix.

Gilles Lionel told BleepingComputer that PetitPotam allows other atacks, such as a downgrading attack to NTLMv1 that uses the Data Encryption Standard (DES) - an insecure algorithm due to its short, 56-bit key generation that makes it easy to recover a password hash.

One example, Gilles Lionel told BleepingComputer, is a downgrading attack to NTLMv1 that uses the Data Encryption Standard (DES) - an insecure algorithm due to its short, 56-bit key generation that makes it easy to recover a password hash.

An attacker can then use the account on machines where it has local admin privileges. Lionel says that Exchange and Microsoft System Center Configuration Manager (SCCM) servers are a common scenario."
26-07-2021, 17:50 door Anoniem
Overigens niks nieuws bij. Het zijn bekende aanvalspatronen waar al lang mitigerende maatregelen voor zijn.

NTLM op je CA's... sja. Dat kan en had al lang uit moeten staan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.