Microsoft waarschuwt voor PetitPotam-aanval op Windows-domeincontrollers
Microsoft heeft een waarschuwing gegeven voor een nieuwe aanval genaamd PetitPotam waarmee Windows-domeincontrollers kunnen worden overgenomen en daarmee het gehele Windows-domein van een organisatie. PetitPotam is ontwikkeld door beveiligingsonderzoeker Gilles Lionel en maakt gebruik van het Encrypting File System Remote (EFSRPC) protocol van Windows. Via dit protocol is het mogelijk om versleutelde data te bewerken die op remote is opgeslagen en toegankelijk via het netwerk is.
Via het MS-EFSRPC-protocol is het mogelijk om willekeurige Windows-machines, waaronder de domeincontroller, zich bij een specifieke bestemming te laten authenticeren. Deze bestemming stuurt vervolgens de NTLM-credentials van deze systemen door naar een andere dienst die de NTLM-credentials accepteert, waardoor er verder misbruik mogelijk is.
Bij de PetitPotam-aanval kan een aanvaller via het MS-EFSRPC-protocol een domeincontroller zover krijgen dat die diens credentials terugstuurt naar de aanvaller, die ze vervolgens doorstuurt naar Microsoft Active Directory Certificate Services. Daar kan de aanvaller een DC-certificaat toevoegen waarmee er als domeincontroller toegang tot domeinservices kan worden verkregen en het mogelijk is om het gehele domein te compromitteren, meldt securitybedrijf Truesec.
Volgens Microsoft betreft het een klassieke NTLM-relay-aanval en zijn Windows Server 2008 tot en met Windows Server versie 20H2 kwetsbaar. Voorwaarde is wel dat Certificate Authority Web Enrollment of de Certificate Enrollment Web Service staan ingeschakeld. Het techbedrijf laat verder weten dat organisaties al eerder genoemde maatregelen tegen NTLM-relay-aanvallen kunnen nemen, zoals Extended Protection for Authentication (EPA) en SMB signing.
In het geval van PetitPotam wordt er volgens Microsoft misbruik gemaakt van servers waar Active Directory Certificate Services (AD CS) niet geconfigureerd zijn met bescherming tegen NTLM-relay-aanvallen. In dit artikel staan mitigaties die AD CS-servers tegen dergelijke aanvallen moeten beschermen, aldus het techbedrijf. Daarnaast wordt ook het uitschakelen van NTLM-authenticatie geadviseerd.
https://www.bleepingcomputer.com/news/security/microsoft-shares-mitigations-for-new-petitpotam-ntlm-relay-attack/
"Microsoft's advisory is clear about the action to prevent NTLM relay attacks but does not address the abuse of the MS-EFSRPC API, which would need a security update to fix.
Gilles Lionel told BleepingComputer that PetitPotam allows other atacks, such as a downgrading attack to NTLMv1 that uses the Data Encryption Standard (DES) - an insecure algorithm due to its short, 56-bit key generation that makes it easy to recover a password hash.
One example, Gilles Lionel told BleepingComputer, is a downgrading attack to NTLMv1 that uses the Data Encryption Standard (DES) - an insecure algorithm due to its short, 56-bit key generation that makes it easy to recover a password hash.
An attacker can then use the account on machines where it has local admin privileges. Lionel says that Exchange and Microsoft System Center Configuration Manager (SCCM) servers are a common scenario."
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
