Workaround per vulnerabilità PetiPotam NTLM in Windows

Workaround per vulnerabilità PetiPotam NTLM in Windows

Una grave vulnerabilità è stata scoperta recentemente da un ricercatore francese, vediamo i dettagli ed un workaround per la vulnerabilità PetiPotam NTLM in Windows.

La scoperta è stata fatta dal francese GIlles Lionel attraverso un PoC (proof-of-concept) nel quale si evince che l’attacco consiste nell’utilizzare il protocollo Microsoft Encrypting File System Remote per forzare un device, incluso i controller di dominio, ad autenticare una richiesta NTLM remota, condotta dall’attaccante.

Mitigazione? Disabilitare l’NTLM

Microsoft ha pubblicato una security advisory in merito, indicando che i soggetti a rischio sono i sistemi (dominio, ecc) con l’autenticazione NTLM abilitata oppure l’utilizzo dei Servizi certificati Active DIrectory (AD CS) con uno dei due servizi (o entrambi) abilitati ed attivi:

  • Certificate Authority Web Enrollment
  • Certificate Enrollment Web Service

Ovviamente vista la situazione Microsoft suggerisce di disabilitare l’autenticazione NTLM ove possibile oppure abilitare l’autenticazione attraverso SMB.

In aggiunta, la vulnerabilità non riguarda solo questo problema ma anche l’abuso della funzione EfsRpcOpenFileRaw dell’API MS-EFSRPC che passa la richiesta di autenticazione, lasciando così una porta “aperta” o in ascolto.

Leggi anche  NAS QNAP sotto attacco da qualche ora

Su quest’ultimo problema Microsoft non si è espressa chiaramente, per questo motivo l’unica soluzione possibile è attendere un aggiornamento di sicurezza.

Lascia un commento

Exit mobile version