Uma vulnerabilidade que permite que um cibercriminoso assuma o controle de servidores Windows remotos (incluindo o controlador de domínio), fazendo com que eles autentiquem um alvo malicioso (adulterado por um possível invasor).
A vulnerabilidade foi descoberta pelo pesquisador francês de segurança da informação Gilles Lionel, que a chamou de PetitPotam. Ele foi testado e teve sucesso nos sistemas Windows 10, Windows Server 2016 e 2019.
Lionel postou uma Prova de Conceito (PoC) no GitHub, onde explica que um invasor pode abusar de um protocolo Encrypting File System Remote (EFSRPC) para realizar manutenção e gerenciamento de dados criptografados, armazenados remotamente.
“[O PetitPotam] força os hosts Windows a se autenticarem em outras máquinas por meio da função MS-EFSRPC EfsRpcOpenFileRaw. Isso também é possível por meio de outros protocolos e funções. As ferramentas usam o canal nomeado LSARPC com interface c681d488d850-11d0-8c52-00c04fd90f7e porque é mais prevalente. Mas é possível acionar com o pipe nomeado EFSRPC e a interface df1941c5-fe89-4e79-bf10-463657acf44d. Você não precisa de credenciais no controlador de domínio “, explica ele.
Microsoft lança atualização de segurança
O Record, que revelou o caso ao público, contatou a Microsoft, que não respondeu ao pedido de contato com a imprensa. No entanto, um dia após o fracasso foi divulgado. A empresa lançou uma atualização de segurança, corrigindo a vulnerabilidade.
Na página do guia para esta atualização, a Microsoft explica que a vulnerabilidade de Lionel pode resultar em um ataque NTLM Relay clássico.
“Para evitar ataques de retransmissão NTLM em redes habilitadas para NTLM, os administradores de domínio devem garantir que os serviços que habilitam a autenticação NTLM usem proteções como Proteção Estendida para Autenticação (EPA) ou recursos de assinatura como assinatura SMB.”
“O PetitPotam tira proveito de servidores onde os Serviços de Certificados do Active Directory (AD CS) não estão configurados com proteções para ataques de retransmissão NTLM. As atenuações descritas no KB5005413 instruem os clientes sobre como proteger seus servidores AD CS de tais ataques”, diz ele. para a Microsoft.
Fontes: the record; Gilles Lionel; Microsoft; TheHack.
