Microsoft heeft een waarschuwing gegeven voor een nieuwe aanval genaamd PetitPotam waarmee Windows-domeincontrollers kunnen worden overgenomen en daarmee het gehele Windows-domein van een organisatie. PetitPotam is ontwikkeld door beveiligingsonderzoeker Gilles Lionel en maakt gebruik van het Encrypting File System Remote (EFSRPC) protocol van Windows. Via dit protocol is het mogelijk om versleutelde data te bewerken die op remote is opgeslagen en toegankelijk via het netwerk is.
Via het MS-EFSRPC-protocol is het mogelijk om willekeurige Windows-machines, waaronder de domeincontroller, zich bij een specifieke bestemming te laten authenticeren. Deze bestemming stuurt vervolgens de NTLM-credentials van deze systemen door naar een andere dienst die de NTLM-credentials accepteert, waardoor er verder misbruik mogelijk is.
Bij de PetitPotam-aanval kan een aanvaller via het MS-EFSRPC-protocol een domeincontroller zover krijgen dat die diens credentials terugstuurt naar de aanvaller, die ze vervolgens doorstuurt naar Microsoft Active Directory Certificate Services. Daar kan de aanvaller een DC-certificaat toevoegen waarmee er als domeincontroller toegang tot domeinservices kan worden verkregen en het mogelijk is om het gehele domein te compromitteren, meldt securitybedrijf Truesec.
Volgens Microsoft betreft het een klassieke NTLM-relay-aanval en zijn Windows Server 2008 tot en met Windows Server versie 20H2 kwetsbaar. Voorwaarde is wel dat Certificate Authority Web Enrollment of de Certificate Enrollment Web Service staan ingeschakeld. Het techbedrijf laat verder weten dat organisaties al eerder genoemde maatregelen tegen NTLM-relay-aanvallen kunnen nemen, zoals Extended Protection for Authentication (EPA) en SMB signing.
In het geval van PetitPotam wordt er volgens Microsoft misbruik gemaakt van servers waar Active Directory Certificate Services (AD CS) niet geconfigureerd zijn met bescherming tegen NTLM-relay-aanvallen. In dit artikel staan mitigaties die AD CS-servers tegen dergelijke aanvallen moeten beschermen, aldus het techbedrijf. Daarnaast wordt ook het uitschakelen van NTLM-authenticatie geadviseerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.