Home News Workaround per vulnerabilità PetiPotam NTLM in Windows

Workaround per vulnerabilità PetiPotam NTLM in Windows

da Alvise C.
Pubblicato: Aggiornato il: 0 commenti Offrici un Caffè

Una grave vulnerabilità è stata scoperta recentemente da un ricercatore francese, vediamo i dettagli ed un workaround per la vulnerabilità PetiPotam NTLM in Windows.

La scoperta è stata fatta dal francese GIlles Lionel attraverso un PoC (proof-of-concept) nel quale si evince che l’attacco consiste nell’utilizzare il protocollo Microsoft Encrypting File System Remote per forzare un device, incluso i controller di dominio, ad autenticare una richiesta NTLM remota, condotta dall’attaccante.

Mitigazione? Disabilitare l’NTLM

Microsoft ha pubblicato una security advisory in merito, indicando che i soggetti a rischio sono i sistemi (dominio, ecc) con l’autenticazione NTLM abilitata oppure l’utilizzo dei Servizi certificati Active DIrectory (AD CS) con uno dei due servizi (o entrambi) abilitati ed attivi:

  • Certificate Authority Web Enrollment
  • Certificate Enrollment Web Service

Ovviamente vista la situazione Microsoft suggerisce di disabilitare l’autenticazione NTLM ove possibile oppure abilitare l’autenticazione attraverso SMB.

In aggiunta, la vulnerabilità non riguarda solo questo problema ma anche l’abuso della funzione EfsRpcOpenFileRaw dell’API MS-EFSRPC che passa la richiesta di autenticazione, lasciando così una porta “aperta” o in ascolto.

Su quest’ultimo problema Microsoft non si è espressa chiaramente, per questo motivo l’unica soluzione possibile è attendere un aggiornamento di sicurezza.

Offrici un Caffè

Offri un caffè all'autore di questo post

Non perdere questi contenuti:

Lascia un commento

-
00:00
00:00
Update Required Flash plugin
-
00:00
00:00