Una grave vulnerabilità è stata scoperta recentemente da un ricercatore francese, vediamo i dettagli ed un workaround per la vulnerabilità PetiPotam NTLM in Windows.
La scoperta è stata fatta dal francese GIlles Lionel attraverso un PoC (proof-of-concept) nel quale si evince che l’attacco consiste nell’utilizzare il protocollo Microsoft Encrypting File System Remote per forzare un device, incluso i controller di dominio, ad autenticare una richiesta NTLM remota, condotta dall’attaccante.
Mitigazione? Disabilitare l’NTLM
Microsoft ha pubblicato una security advisory in merito, indicando che i soggetti a rischio sono i sistemi (dominio, ecc) con l’autenticazione NTLM abilitata oppure l’utilizzo dei Servizi certificati Active DIrectory (AD CS) con uno dei due servizi (o entrambi) abilitati ed attivi:
- Certificate Authority Web Enrollment
- Certificate Enrollment Web Service
Ovviamente vista la situazione Microsoft suggerisce di disabilitare l’autenticazione NTLM ove possibile oppure abilitare l’autenticazione attraverso SMB.
To mitigate against various NTLM relay attacks, disable NTLM where not needed (eg DCs) or implement the mitigation feature, Extended Protection for Authentication. Guidance at https://t.co/JEaDMxdD61
— Security Response (@msftsecresponse) July 24, 2021
In aggiunta, la vulnerabilità non riguarda solo questo problema ma anche l’abuso della funzione EfsRpcOpenFileRaw dell’API MS-EFSRPC che passa la richiesta di autenticazione, lasciando così una porta “aperta” o in ascolto.
Su quest’ultimo problema Microsoft non si è espressa chiaramente, per questo motivo l’unica soluzione possibile è attendere un aggiornamento di sicurezza.