Microsoft no ha hecho frente completamente a los ataques de PetitPotam en Windows NTLM Relay

Microsoft and the PetitPotam Attacks

En Mayo, Microsoft lanzó una actualización de seguridad, ya que anteriormente no había hecho frente completamente a los ataques llamados PetitPotam.

Las recomendaciones de actualización y mitigación apuntan a un vulnerabilidad muy explotada en NTLM Relay llamado Falsificación de LSA de Windows Vulnerabilidad con el número. CVE-2022-26925.

Julio pasado, investigador de seguridad Gilles Lionel, también conocido como topotam, introducido un nuevo para olla pequeña Método que podría utilizar un atacante para obligar a un controlador de dominio a autenticar un servidor que controla mediante las API de MS-EFSRPC..

Como explicó el investigador, un atacante puede comunicarse a través de la interfaz LSARPC de Windows y ejecutar funciones API MS-EFSRPC sin autenticación. Estas funciones, OpenEncryptedFileRawA y OpenEncryptedFileRawW, permitir que un atacante fuerce a un controlador de dominio a autenticar su servidor NTLM.

Luego, la retransmisión NTLM reenvía la solicitud a los Servicios de certificados de Active Directory de la víctima a través de HTTP para obtener los TGT de Kerberos., permitiendo al atacante obtener la identidad de cualquier dispositivo en la red, incluido el controlador de dominio.

Microsoft y los ataques de PetitPotam

A propósito, Anteriormente informamos que El bloquear archivo El ransomware aprovecha las vulnerabilidades de ProxyShell y PetitPotam para aumentar sus posibilidades de piratear y cifrar redes corporativas.

La vulnerabilidad de PetitPotam podría permitir a un actor de amenazas autenticar un dispositivo en un servidor malicioso. Una vez autenticado, un servidor malicioso puede hacerse pasar por un dispositivo y obtener todos sus privilegios. El error es una amenaza grave y permite a un atacante tomar el control total del dominio..

Un atacante no autorizado puede llamar a un método en la interfaz LSARPC y obligar a un controlador de dominio a autenticarse ante el ciberdelincuente mediante NTLM.. La actualización de seguridad detecta intentos de conexión anónima en LSARPC y los niega.Microsoft dijo en la actualización.

Microsoft solucionó parte de la vulnerabilidad PetitPotam en agosto 2021, pero aún existen vulnerabilidades sin parchear que permitieron a los piratas informáticos realizar ataques. Sin embargo, una actualización reciente que soluciona el Ataque de retransmisión NTLM El error en realidad puede prevenir el ataque de PetitPotam..

La nueva actualización de seguridad ha solucionado el PetitPotam «EfsRpcOpenFileRaw» vector, Todavía existen otros vectores de ataque de EFS que permiten a los ciberdelincuentes operar.. A medida que se descubran nuevos vectores PetitPotam y otros ataques NTLM Relay en el futuro, Microsoft ha propuesto Medidas de atenuación.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *