jeudi, 21 avril 2022

Les attaques par relais NTLM expliquées, et pourquoi PetitPotam est le plus dangereux

Crédit : Temps de rêve

Microsoft Active Directory (AD), qui gère la gestion des identités, détiendrait 90 % à 95 % des parts de marché parmi les sociétés Fortune 500. Compte tenu de son adoption si large, il n’est pas surprenant qu’il soit si fortement ciblé par les acteurs malveillants et les chercheurs. Parmi les les types d’attaques les plus cités contre AD sont des protocoles hérités. Un de ces protocoles qui reçoit beaucoup d’attention des attaquants est NT LAN Manager (NTLM).

NTLM existe depuis plus de 20 ans. Il est utilisé pour l’authentification dans les premiers systèmes Windows, jusqu’à Windows 2000. Il utilise un mécanisme de défi-réponse pour authentifier les clients. Alors que de nombreuses organisations sont passées à Kerberos, de nombreux systèmes et applications hérités prennent toujours en charge ou utilisent NTLM. Il est également utilisé dans des scénarios où vous devez rejoindre un groupe de travail, une authentification de connexion locale sur des contrôleurs non-domaine ou dans certains cas pour des applications non-Microsoft.

Définition de l’attaque par relais NTLM

Une attaque par relais NTLM exploite le mécanisme de défi-réponse NTLM. Un attaquant intercepte les demandes d’authentification légitimes puis les transmet au serveur. Le client qui a initialement envoyé la demande reçoit les défis appropriés, mais l’attaquant intercepte les réponses et les transmet au serveur, qui authentifie ensuite l’attaquant plutôt que la personne ou l’appareil qui a fait la demande.

Alors que les attaques par relais NTLM sont loin d’être nouvelles , les chercheurs et les acteurs malveillants continuent de trouver de nouvelles façons d’exploiter ce protocole d’authentification. La récente attaque de PetitPotam en est un bon exemple.

Pourquoi PetitPotam est différent 

PetitPotam a été divulgué par le chercheur en sécurité Gilles Lionel, qui a publié une preuve de concept ( PoC) de l’exploit sur GitHub. Ce qui rend PetitPotam particulièrement préoccupant, c’est qu’il permet de contraindre les serveurs Windows, y compris les contrôleurs de domaine, à s’authentifier auprès d’une destination malveillante, ce qui permet à des adversaires de potentiellement prendre le contrôle d’un domaine Windows entier.

Les précédentes attaques par relais NTLM étaient centrées sur l’abus de la fonction de l’API d’impression MS-RPRN qui fait partie des environnements Microsoft. Au fur et à mesure que ces variantes de l’attaque gagnaient en notoriété, les organisations ont commencé à désactiver MS-RPRN pour bloquer le vecteur d’attaque. PetitPotam a adopté une nouvelle approche, en utilisant la fonction EfsRpcOpenFileRaw de l’API Microsoft Encrypting File System Remote Protocol (MS-EFSRPC).

Recherche de sécurité et organisations de fournisseurs telles que Rapid7 a vérifié le PoC et a déclaré que « cette attaque est trop facile ». Permettre à un attaquant non authentifié de prendre potentiellement le contrôle d’un domaine Windows dans AD pourrait paralyser certaines organisations, et c’est pourquoi il vaut la peine d’explorer le fonctionnement de PetitPotam et comment l’atténuer.

Comment fonctionne PetitPotem

Comme mentionné dans Documentation de Microsoft, EfsRpcOpenFileRaw effectue des opérations de maintenance et de gestion sur des données cryptées qui sont stockées à distance et accessibles via un réseau. Alors que les tentatives précédentes d’attaques par relais NTLM ciblaient l’API MS-RPRN, l’utilisation abusive d’EfsRpcOpenFileRaw est nouvelle dans son approche.

Les API MS-RPRN et MS-EFSRPC sont toutes deux activées par défaut, laissant probablement vulnérables de nombreuses organisations qui ne se durcissent pas contre ces attaques. Dans l’exemple PetitPotam, l’environnement de la victime s’authentifie contre un NTLM distant contrôlé par un adversaire utilisant le MS-EFSRPF mentionné précédemment et partage ses informations d’authentification. Ces informations d’authentification incluent des mots de passe hachés via NTLM.

Bien que l’exposition de mots de passe hachés soit déjà assez mauvaise, un attaquant utilise ces mots de passe hachés pour augmenter son niveau de contrôle. Les attaquants peuvent prendre les informations d’identification récupérées et les transmettre à une page d’inscription Web des services de certificats Active Directory (AD CS) pour inscrire un certificat de contrôleur de domaine (DC). Cela permet aux attaquants d’avoir un certificat d’authentification qu’ils peuvent utiliser pour accéder aux services de domaine en tant que contrôleur de domaine. Cela met tout le domaine Windows en danger. Lorsque vous avez des environnements d’entreprise de grande taille utilisant Microsoft AD et que leur base d’utilisateurs est organisée en domaines, il s’agit d’un risque énorme avec un impact potentiellement dévastateur. 

Atténuation des attaques par relais NTLM 

Compte tenu de la portée et de l’impact étendus de PetitPotam, les organisations ont fourni des conseils d’atténuation à ceux qui pourraient être touchés. Cela inclut Microsoft ainsi que d’autres tels que Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), qui a contribué à diffuser les conseils pour atténuer l’attaque par relais NTLM de PetitPotam. Les conseils de Microsoft pour prévenir les attaques par relais NTLM incluent l’utilisation de protections telles que la protection étendue pour l’authentification (EPA) et des fonctionnalités de signature telles que la signature SMB, dont nous parlerons ci-dessous. De plus, Microsoft recommande aux clients de désactiver complètement l’authentification NTLM sur le contrôleur de domaine.

Les conseils de Microsoft ont été publiés sous la forme de KB5005413 : Atténuation des attaques par relais NTLM sur les services de certificats Active Directory (AD CS). Microsoft mentionne que ceux qui utilisent l’inscription Web d’autorité de certification et les services Web d’inscription de certificat sont particulièrement vulnérables à PetitPotam.

Parmi les recommandations clés pour ceux qui doivent utiliser NTLM, il y a l’activation de l’EPA. Cela active l’authentification en mode noyau, qui, selon Microsoft, peut améliorer les performances d’authentification et empêcher les problèmes d’authentification ou, dans ce cas, les vulnérabilités. Microsoft recommande également d’activer ExtendedProtectionPolicy une fois que vous avez activé EPA et que vous avez besoin de SSL, qui n’activera que les connexions cryptées HTTPS.

Un conseil d’atténuation supplémentaire fourni par Microsoft consiste à désactiver l’authentification NTLM sur votre contrôleur de domaine Windows, à désactiver NTLM sur tous les serveurs AD CS de votre domaine via la stratégie de groupe et à désactiver NTLM pour Internet Information Services (IIS) sur tous les serveurs AD CS dans ton domaine. Ces modifications permettent de forcer l’authentification à Negotiate:Kerberos.

Les attaques par relais NTLM, en particulier celles qui peuvent s’emparer de domaines, peuvent avoir un impact dévastateur sur les environnements d’entreprise Windows utilisant Active Directory. C’est encore plus vrai dans les environnements d’architecture moderne qui considèrent l’identité comme le nouveau périmètre.

Si la migration de NTLM vers Kerberos reste le premier conseil, elle n’est pas toujours pratique en fonction de l’environnement et des applications et architectures existantes. Dans les cas où cela n’est pas possible, il est fortement recommandé de suivre les conseils des principaux chercheurs en sécurité, des experts et de Microsoft pour éviter d’être victime.

 

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici