Siguiendo los pasos de PrintNightmare y SeriousSam, ahora tenemos otro vector de ataque de alto impacto en dominios Windows que es relativamente fácil de llevar a cabo y difícil de mitigar.
Lo que ahora está siendo aclamado en Twitter como #PetitPotam es una combinación de varios ataques que sólo requieren acceso a la red con potencial para obtener permisos completos de administrador de dominio.
La exposición original, PetitPotam, es una exposición de coerción de autenticación. Poco después de su descubrimiento, fue combinado por varios investigadores con un ataque expuesto por Spec terOps hace unos meses llamado "ESC8" contra AD Certificate Services. En ese momento, SpecterOps se refirió a una vulnerabilidad de coerción de autenticación más antigua en Print Spoolers descubierta por @elad_shamir y denominada "Printer Bug".
Este es el aspecto de la ruta de ataque completa:
- Un atacante coacciona a una cuenta privilegiada para que se autentique en una máquina controlada. No se requiere una cuenta de dominio. Este es el PetitPotamoriginal , unaherramienta PoC publicada el 18 de julio en GitHub por el investigador francés Gilles Lionel (@topotam77) que llama a EFSRPC (Encrypting File System Remote) para autenticarse como el servicio en ejecución (incluidos los controladores de dominio).
- El atacante retransmite esa autenticación a un servicio susceptible utilizando la retransmisión NTLM. Debido a un defecto de diseño como protocolo de autenticación desafío-respuesta, la autenticación NTLM es susceptible a ataques de retransmisión. Microsoft sugiere desactivar NTLM por completo o instalar EPA.
- En este ataque, los servicios que son susceptibles a la retransmisión NTLM son CA Web Enrollment y Certificate Enrollment Web Service -parte de Active Directory Certificate Services (AD CS)-, servicios que son responsables de la inscripción y emisión de (entre otras cosas) certificados de autenticación de clientes.
- El atacante utiliza el acceso privilegiado del ataque de retransmisión NTLM para obtener privilegios escalados persistentes emitiendo él mismo un certificado en nombre de la cuenta coaccionada. Este enfoque les permite autenticarse en servicios adicionales o conseguir un ticket plateado.
Cómo detectar y mitigar PetitPotam
Microsoft ha publicado información de mitigación, disponible aquí.
Semperis Directory Services Protector (DSP) 3.5 incluye un indicador de exposición para detectar entornos susceptibles:
- "AD Certificate Authority with Web Enrollment ("PetitPotam", "ESC8″)" comprueba el acceso NTLM al servicio Web Enrollment. Si este indicador encuentra resultados sin EPA habilitado, el entorno está expuesto a este ataque.
- También estamos trabajando en indicadores adicionales para comprobar y mitigar la coerción EFSRPC y la retransmisión NTLM. Estos indicadores se actualizarán automáticamente para los clientes de DSP .