Ran Harel
Aggiornamento del 10 agosto 2021: Microsoft ha rilasciato una patch che copre parzialmente la coercizione iniziale dell'autenticazione PetitPotam tramite MS-EFSR. 

Dopo PrintNightmare e SeriousSam, abbiamo ora un altro vettore di attacco ad alto impatto sui domini Windows, relativamente facile da eseguire e difficile da mitigare.

Quello che ora viene salutato su Twitter come #PetitPotam è una combinazione di diversi attacchi che richiedono solo l'accesso alla rete con la possibilità di ottenere le autorizzazioni complete di amministratore di dominio.

L'esposizione originale, PetitPotam, è una coercizione dell'autenticazione. Subito dopo la sua scoperta, è stata combinata da diversi ricercatori con un attacco esposto da SpecterOps qualche mese fa chiamato "ESC8" contro AD Certificate Services. All'epoca, SpecterOps aveva fatto riferimento a una vecchia vulnerabilità di coercizione dell'autenticazione negli spooler di stampa scoperta da @elad_shamir e denominata "Printer Bug".

Ecco come si presenta il percorso di attacco completo:

  1. Un aggressore costringe un account privilegiato ad autenticarsi su un computer controllato. Non è richiesto un account di dominio. Questo è il PetitPotamoriginale , unostrumento PoC rilasciato il 18 luglio su GitHub dal ricercatore francese Gilles Lionel (@topotam77) che chiama EFSRPC (Encrypting File System Remote) per autenticarsi come servizio in esecuzione (compresi i controller di dominio).
  2. L'attaccante inoltra l'autenticazione a un servizio suscettibile utilizzando il relay NTLM. A causa di un difetto di progettazione come protocollo di autenticazione a sfida-risposta, l'autenticazione NTLM è suscettibile di attacchi di tipo relay. Microsoft suggerisce di disabilitare completamente NTLM o di installare EPA.
  3. In questo attacco, i servizi suscettibili di NTLM relay sono il CA Web Enrollment e il Certificate Enrollment Web Service, parte di Active Directory Certificate Services (AD CS), responsabili dell'iscrizione e dell'emissione (tra l'altro) dei certificati di autenticazione dei clienti.
  4. L'aggressore utilizza l'accesso privilegiato ottenuto con l'attacco NTLM relay per ottenere un'escalation di privilegi persistente, emettendo un certificato a nome dell'account forzato. Questo approccio consente di autenticarsi a servizi aggiuntivi o di ottenere un ticket silver.

Come rilevare e mitigare PetitPotam

Microsoft ha rilasciato informazioni di mitigazione, disponibili qui.

Semperis Directory Services Protector (DSP) 3.5 include un indicatore di esposizione per individuare gli ambienti sensibili:

  • "AD Certificate Authority with Web Enrollment ("PetitPotam", "ESC8″)" verifica l'accesso NTLM al servizio Web Enrollment. Se questo indicatore trova risultati senza EPA abilitato, l'ambiente è esposto a questo attacco.
  • Stiamo inoltre lavorando su indicatori aggiuntivi per verificare e mitigare la coercizione EFSRPC e il relay NTLM. Questi indicatori si aggiorneranno automaticamente per i clienti di DSP .