La nouvelle attaque de relais PetitPotam NTLM permet aux pirates informatiques de s’emparer des domaines Windows

Cet avertissement a pour objectif de sensibiliser à une vulnérabilité permettant de perpétrer des attaques par relais NTLM sur les services de certificats Active Directory, dont le code public Proof-of-Concept (PoC) est disponible.

Le but de cette alerte est de sensibiliser les administrateurs de systèmes à cette vulnérabilité et aux risques qu’elle implique, afin qu’ils puissent agir en conséquence.

Si ce n’est pas déjà fait, le CCB / CyTRIS (Cyber Threat Research & Intelligence Sharing) recommande aux administrateurs de systèmes d’appliquer au plus vite les mesures de gestion des risques disponibles sur leurs systèmes vulnérables, et d’analyser les logs de leurs systèmes et de leurs réseaux afin de détecter toute activité suspecte.

Résumé

Microsoft a pris connaissance de la vulnérabilité « PetitPotam »1 qui peut être utilisée dans une attaque sur des contrôleurs de domaine Windows ou d’autres serveurs Windows2. La vulnérabilité existe en raison d’une faiblesse dans le processus d’authentification NTLM.

« PetitPotam » est une attaque par relais NTLM classique, attaque qui permet à un cyberpirate de contourner à distance le processus d’authentification et d’accéder sans autorisation à un système.

Détails Techniques

« PetitPotam » profite des serveurs sur lesquels les services de certification Active Directory (« Active Directory Certificate Services », AD CS) ne sont pas configurés avec des protections contre les attaques par relais NTLM. C’est le chercheur en sécurité Gilles Lionel qui a découvert le problème et qui a partagé les détails techniques et le code proof-of-concept (PoC) la semaine dernière3.

La vulnérabilité fonctionne en forçant les hôtes Windows à s’authentifier sur d’autres machines, via la fonction MS-EFSRPC « EfsRpcOpenFileRaw ».

Les systèmes sont potentiellement vulnérables à cette attaque si l’authentification NTLM est activée sur le domaine et utilise les services de certificats Active Directory (AD CS) avec l’un des services suivants :

  • Certificate Authority Web Enrollment
  • Certificate Enrollment Web Service

Risques

« PetitPotam » exploite une faille de sécurité dans le système d’exploitation Windows pour forcer à distance les serveurs Windows, y compris les contrôleurs de domaine, à s’authentifier dans un but malveillant. Cela permet à un cyberpirate de préparer une attaque par relais NTLM et de prendre intégralement le contrôle d’un domaine Windows.

Fournisseurs Concernés et Solutions de Contournement

Cette vulnérabilité affecte toutes les versions des serveurs Microsoft Windows, y compris les contrôleurs de domaine.

Le CCB / CyTRIS recommande aux administrateurs de systèmes d’examiner les mesures de gestion des risques décrites dans l’article KB50054134 pour indiquer aux clients comment protéger leurs serveurs AD CS contre de telles attaques. Si l’authentification NTLM n’a pas été désactivée sur le domaine, la meilleure mesure de gestion des risques pour ce problème est de désactiver l’authentification NTLM sur le domaine après avoir vérifié l’article susmentionné.

Pour empêcher les attaques par relais NTLM sur les réseaux où NTLM est activé, les administrateurs de domaine doivent s’assurer que les services qui autorisent l’authentification NTLM utilisent des protections, comme l’Extended Protection for Authentication (EPA) ou des fonctions de signature telles que la signature SMB.

Windows recommande de désactiver l’authentification NTLM sur le contrôleur de domaine. S’il est impossible de désactiver NTLM pour des raisons de compatibilité, suivez l’une des deux étapes ci-dessous :

  • Désactivez NTLM sur tous les serveurs AD CS de votre domaine en utilisant la stratégie de groupe : Network security > Restrict NTLM5 > Incoming NTLM traffic.
  • Désactivez NTLM pour les « Internet Information Services » (IIS) sur les serveurs AD CS du domaine qui exécutent les services « Certificate Authority Web Enrollment » ou « Certificate Enrollment Web Service ».

 

Vous aimerez aussi...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *