Ran Harel
Update 10. August 2021: Microsoft hat einen Patch veröffentlicht, der den anfänglichen PetitPotam-Authentifizierungszwang durch MS-EFSR teilweise abdeckt. 

Nach PrintNightmare und SeriousSam gibt es nun einen weiteren hochwirksamen Angriffsvektor auf Windows-Domänen, der relativ leicht auszuführen und schwer zu entschärfen ist.

Was jetzt auf Twitter als #PetitPotam gefeiert wird, ist eine Kombination aus mehreren Angriffen, die nur Netzwerkzugriff erfordern, aber das Potenzial haben, volle Domain-Admin-Rechte zu erlangen.

Die ursprüngliche Enthüllung, PetitPotam, ist eine Enthüllung der Authentifizierungserzwingung. Kurz nach seiner Entdeckung wurde er von mehreren Forschern mit einem Angriff kombiniert, der vor einigen Monaten von SpecterOps unter dem Namen "ESC8" gegen AD Certificate Services aufgedeckt wurde. Damals bezog sich SpecterOps auf eine ältere Schwachstelle für Authentifizierungserzwingung in Print Spoolern , die von @elad_shamir entdeckt und als "Printer Bug" bezeichnet wurde.

So sieht der vollständige Angriffspfad aus:

  1. Ein Angreifer erzwingt ein privilegiertes Konto, um sich bei einem kontrollierten Rechner zu authentifizieren. Es ist kein Domänenkonto erforderlich. Dies ist das ursprüngliche PetitPotam - einPoC-Tool, das am 18. Juli von dem französischen Forscher Gilles Lionel (@topotam77) auf GitHub veröffentlicht wurde. Es ruft EFSRPC (Encrypting File System Remote) auf, um sich als laufender Dienst (einschließlich Domain-Controller) zu authentifizieren.
  2. Der Angreifer leitet diese Authentifizierung mithilfe von NTLM-Relay an einen anfälligen Dienst weiter. Aufgrund eines Konstruktionsfehlers als Challenge-Response-Authentifizierungsprotokoll ist die NTLM-Authentifizierung anfällig für Relay-Angriffe. Microsoft empfiehlt, NTLM ganz zu deaktivieren oder EPA zu installieren.
  3. Bei diesem Angriff handelt es sich bei den Diensten, die für NTLM-Relay anfällig sind, um den CA Web Enrollment und den Certificate Enrollment Web Service - Teil der Active Directory Certificate Services (AD CS) -, die für die Registrierung und Ausstellung von (unter anderem) Client-Authentifizierungszertifikaten zuständig sind.
  4. Der Angreifer nutzt den privilegierten Zugriff aus dem NTLM-Relay-Angriff, um sich dauerhaft erweiterte Privilegien zu verschaffen, indem er sich ein Zertifikat im Namen des erzwungenen Kontos ausstellt. Auf diese Weise können sie sich bei zusätzlichen Diensten authentifizieren oder ein Silver Ticket erlangen.

So erkennen und entschärfen Sie PetitPotam

Microsoft hat Informationen zur Schadensbegrenzung veröffentlicht, die Sie hier finden.

Semperis Directory Services Protector (DSP) 3.5 enthält einen Indikator für Exposition, um anfällige Umgebungen zu erkennen:

  • "AD Certificate Authority with Web Enrollment ("PetitPotam", "ESC8″)" überprüft den NTLM-Zugriff auf den Web Enrollment Service. Wenn dieser Indikator Ergebnisse ohne aktivierte EPA findet, ist die Umgebung für diesen Angriff anfällig.
  • Wir arbeiten außerdem an zusätzlichen Indikatoren, um EFSRPC-Zwang und NTLM-Relay zu überprüfen und zu entschärfen. Diese Indikatoren werden für DSP Kunden automatisch aktualisiert.