Workaround per vulnerabilità PetiPotam NTLM in Windows

Workaround per vulnerabilità PetiPotam NTLM in Windows

Una grave vulnerabilità è stata scoperta recentemente da un ricercatore francese, vediamo i dettagli ed un workaround per la vulnerabilità PetiPotam NTLM in Windows.

La scoperta è stata fatta dal francese GIlles Lionel attraverso un PoC (proof-of-concept) nel quale si evince che l’attacco consiste nell’utilizzare il protocollo Microsoft Encrypting File System Remote per forzare un device, incluso i controller di dominio, ad autenticare una richiesta NTLM remota, condotta dall’attaccante.

Mitigazione? Disabilitare l’NTLM

Microsoft ha pubblicato una security advisory in merito, indicando che i soggetti a rischio sono i sistemi (dominio, ecc) con l’autenticazione NTLM abilitata oppure l’utilizzo dei Servizi certificati Active DIrectory (AD CS) con uno dei due servizi (o entrambi) abilitati ed attivi:

  • Certificate Authority Web Enrollment
  • Certificate Enrollment Web Service

Ovviamente vista la situazione Microsoft suggerisce di disabilitare l’autenticazione NTLM ove possibile oppure abilitare l’autenticazione attraverso SMB.

In aggiunta, la vulnerabilità non riguarda solo questo problema ma anche l’abuso della funzione EfsRpcOpenFileRaw dell’API MS-EFSRPC che passa la richiesta di autenticazione, lasciando così una porta “aperta” o in ascolto.

Leggi anche  Scopriamo qual è il ruolo di ESET nella collaborazione con Google: The App Defense Alliance

Su quest’ultimo problema Microsoft non si è espressa chiaramente, per questo motivo l’unica soluzione possibile è attendere un aggiornamento di sicurezza.

Alvise C.

Alvise C.

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.

Lascia un commento