Après PrintNightmare et SeriousSam, voici un autre vecteur d'attaque à fort impact sur les domaines Windows, relativement facile à mettre en œuvre et difficile à atténuer.
Ce qui est maintenant salué sur Twitter sous le nom de #PetitPotam est une combinaison de plusieurs attaques qui ne nécessitent qu'un accès au réseau avec la possibilité d'obtenir des autorisations complètes d'administrateur de domaine.
L'attaque originale, PetitPotam, est une attaque de coercition d'authentification. Peu après sa découverte, elle a été combinée par plusieurs chercheurs avec une attaque exposée par SpecterOps il y a quelques mois, appelée "ESC8" contre AD Certificate Services. À l'époque, SpecterOps a fait référence à une vulnérabilité plus ancienne de coercition d'authentification dans les Spoolers d'impression, découverte par @elad_shamir et appelée "Printer Bug".
Voici à quoi ressemble la trajectoire complète de l'attaque :
- Un attaquant contraint un compte privilégié à s'authentifier sur une machine contrôlée. Aucun compte de domaine n'est nécessaire. Il s'agit du PetitPotamoriginal , unoutil PoC publié le 18 juillet sur GitHub par le chercheur français Gilles Lionel (@topotam77) qui appelle EFSRPC (Encrypting File System Remote) pour s'authentifier en tant que service en cours d'exécution (y compris les contrôleurs de domaine).
- L'attaquant transmet cette authentification à un service sensible en utilisant le relais NTLM. En raison d'un défaut de conception en tant que protocole d'authentification par défi-réponse, l'authentification NTLM est susceptible de faire l'objet d'attaques par relais. Microsoft suggère de désactiver NTLM ou d'installer EPA.
- Dans cette attaque, les services susceptibles d'être relayés par NTLM sont le CA Web Enrollment et le Certificate Enrollment Web Service, qui font partie des Active Directory Certificate Services (AD CS), des services responsables de l'inscription et de l'émission (entre autres) des certificats d'authentification des clients.
- L'attaquant utilise l'accès privilégié de l'attaque par relais NTLM pour obtenir une escalade persistante des privilèges en émettant lui-même un certificat au nom du compte contraint. Cette approche lui permet de s'authentifier auprès de services supplémentaires ou d'obtenir un ticket d'argent.
Comment détecter et atténuer les effets de PetitPotam ?
Microsoft a publié des informations sur les mesures d'atténuation, disponibles ici.
Semperis Directory Services Protector (DSP) 3.5 inclut un indicateur d'exposition pour détecter les environnements sensibles :
- L'indicateur "AD Certificate Authority with Web Enrollment ("PetitPotam", "ESC8″)" vérifie l'accès NTLM au service Web Enrollment. Si cet indicateur trouve des résultats sans que l'EPA soit activée, l'environnement est exposé à cette attaque.
- Nous travaillons également sur des indicateurs supplémentaires pour vérifier et atténuer la coercition EFSRPC et le relais NTLM. Ces indicateurs seront mis à jour automatiquement pour les clients de DSP .