Voici comment protéger votre réseau contre l'attaque relais PetitPotam
Agence web » Actualités du digital » Voici comment protéger votre réseau contre l’attaque relais PetitPotam

Voici comment protéger votre réseau contre l’attaque relais PetitPotam

Un nouveau problème de sécurité a troublé les administrateurs de réseau d’entreprise après que le chercheur français en sécurité Gilles Lionel a révélé une nouvelle attaque par relais NTLM qui permet aux pirates de prendre le contrôle du contrôleur de domaine ou d’autres serveurs Windows.

Nommée PetitPotam, l’attaque a été révélée il y a quelques jours, permise avec du code Proof of Concept.

L’exploit utilise Microsoft Encrypting File System Remote Protocol (EFSRPC) pour forcer un appareil, y compris les contrôleurs de domaine, à s’authentifier auprès d’un relais NTLM distant malveillant, qui peut ensuite être utilisé pour voler le hachage et les certificats et assumer l’identité de l’appareil réel et de son privilèges.

Microsoft n’est pas trop alarmé, cependant, en disant :

Microsoft est au courant de PetitPotam qui peut potentiellement être utilisé dans une attaque contre les contrôleurs de domaine Windows ou d’autres serveurs Windows. PetitPotam est une attaque relais NTLM classique, et de telles attaques ont déjà été documentées par Microsoft avec de nombreuses options d’atténuation pour protéger les clients. Par exemple, consultez l’Avis de sécurité Microsoft 974926.

Pour empêcher les attaques par relais NTLM sur les réseaux sur lesquels NTLM est activé, les administrateurs de domaine doivent s’assurer que les services qui autorisent l’authentification NTLM utilisent des protections telles que la protection étendue pour l’authentification (EPA) ou des fonctionnalités de signature telles que la signature SMB. PetitPotam tire parti des serveurs où les services de certificats Active Directory (AD CS) ne sont pas configurés avec des protections contre les attaques par relais NTLM. Les mesures d’atténuation décrites dans l’article KB5005413 indiquent aux clients comment protéger leurs serveurs AD CS contre de telles attaques.

Vous êtes potentiellement vulnérable à cette attaque si l’authentification NTLM est activée dans votre domaine et que vous utilisez les services de certificats Active Directory (AD CS) avec l’un des services suivants :

  • Inscription Web de l’autorité de certification
  • Service Web d’inscription de certificat

La solution simple consiste donc à désactiver NTLM là où cela n’est pas nécessaire, par exemple les contrôleurs de domaine, ou à activer le mécanisme de protection étendue pour l’authentification ou à activer l’authentification NTLM pour utiliser des fonctionnalités de signature telles que la signature SMB.

Comme PrintNightmare, ce n’est peut-être que le premier chapitre de la saga PetitPotam, puisque Gilles Lionel a déclaré à BleepingComputer que PetitPotam autorise d’autres attaques, comme une attaque de déclassement vers NTLMv1 qui utilise le Data Encryption Standard (DES) – un algorithme non sécurisé en raison de sa courte , génération de clé 56 bits qui facilite la récupération d’un hachage de mot de passe, permettant une attaque locale par escalade de privilèges.

Microsoft n’a pas non plus abordé le protocole EFSRPC utilisé dans l’attaque.

Lisez l’avis de Microsoft ici, et plus encore sur BleepingComputer.

★★★★★