PetitPotam, vulnerabilidad de Windows permite la ejecución de un ataque de retransmisión NTLM

28 Julio 2021
Alto

Una falla de seguridad recién descubierta en el sistema operativo Windows puede explotarse para obligar a los servidores Windows remotos, incluidos los controladores de dominio, a autenticarse con un fin malicioso, lo que permitiría que un actor malicioso ejecute un ataque de retransmisión NTLM y se apodere por completo de un dominio de Windows. Esta vulnerabilidad ha sido denominada PetitPotam.

Windows NT LAN Manager (NTLM)

Conjunto de protocolos de seguridad de Microsoft destinados a proporcionar autenticación, integridad y confidencialidad a los usuarios.

El protocolo NTLM estipula que el cliente debe autenticarse con un nombre de usuario y la contraseña correspondiente. Para ello, se genera un intercambio entre el dispositivo del usuario y un servidor. Este último conoce los datos de inicio de sesión, por lo que puede comprobar la solicitud de acceso y, a continuación, permitirlo.

Ataques de repetición NTLM

Un atacante, situado entre una conexión cliente/servidor que realice una autenticación NTLM, puede capturar credenciales y enviar solicitudes de autenticación validadas para acceder a los servicios de red. Específicamente, el ataque permite que un controlador de dominio se autentique contra un NTLM remoto (bajo el control de un atacante) utilizando la interfaz MSEFSRPC, compartiendo de esta forma información de autenticación.

PetitPotam

La vulnerabilidad denominada "PetitPotam", fue descubierta por el investigador de seguridad Gilles Lionel, quien compartió detalles técnicos y código de prueba de concepto (PoC). La PoC permite que un atacante envíe solicitudes SMB a la interfaz MS-EFSRPC de un sistema remoto y obligue a la computadora víctima a iniciar un procedimiento de autenticación y compartir su hash de autenticación NTLM. 

Gilles señaló que la falla funciona al obligar a los hosts de Windows a autenticarse en otras máquinas a través de la función MS-EFSRPC EfsRpcOpenFileRaw". 

MS-EFSRPC es el protocolo remoto del sistema de archivos cifrados de Microsoft que se utiliza para realizar "operaciones de mantenimiento y administración de datos cifrados que se almacenan de forma remota y se accede a ellos a través de una red".

Sin embargo, varios investigadores de seguridad creen que PetitPotam afecta a la mayoría de las versiones de Windows Server desplegadas en la actualidad. Cabe destacar que un equipo es potencialmente vulnerable si la autenticación NTLM está habilitada en su dominio y se están utilizando los Servicios de certificados de Active Directory (AD CS) con cualquiera de los siguientes servicios:

  • Inscripción web de la autoridad de certificación.
  • Servicio web de inscripción de certificados.

PetitPotam está abusando de la función EfsRpcOpenFileRaw de la API MS-EFSRPC para pasar solicitudes de autenticación, dejando el puerto abierto para otros ataques.

Cabe destacar que las pruebas realizadas por Gilles y varios investigadores de seguridad han demostrado que la desactivación del soporte para MS-EFSRPC no impide que el ataque funcionara. Lionel dice que “no ve esto como una vulnerabilidad, sino más bien el abuso de una función legítima. Función que no debería usar la cuenta de la máquina para autenticarse”

Microsoft lanza mitigaciones

Microsoft respondió rápidamente con una solución al ataque denominado "PetitPotam", recomendando a los administradores del sistema que dejen de usar el ahora obsoleto Windows NT LAN Manager (NTLM).

En el caso de que NTLM no se pueda apagar por razones de compatibilidad, la compañía insta a los usuarios a que sigan uno de los siguientes pasos:

  • Desactive NTLM en cualquier servidor AD CS de su dominio mediante la política de grupo Seguridad de red: Restringir NTLM: tráfico NTLM entrante.
  • Deshabilite NTLM para Internet Information Services (IIS) en los servidores AD CS en el dominio que ejecuta los servicios de "Inscripción web de autoridad de certificación" o "Servicio web de inscripción de certificados".

Para obtener más información consulte en “KB5005413“ 

PetitPotam marca el tercer problema importante de seguridad de Windows revelado durante el último mes después de las vulnerabilidades PrintNightmare y SeriousSAM, también conocido como HiveNightmare.


Tags: #PetitPotam #Vulnerabilidad #Windows #Microsoft #MS-EFSRPC #NTLM


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.