Af Eskil Sørensen, 13/08/21
I juli afslørede en sikkerhedsresearcher en ny metode kaldet PetitPotam, der tvinger en domænecontroller til at godkende mod en trusselsaktørs server ved hjælp af MS-EFSRPC API-funktioner. Det skriver Bleeping Computer.
Ved brug af PetitPotam kan en trusselsaktør bruge Windows LSARPC-grænsefladen til at kommunikere og udføre MS-EFSRPC API-funktioner uden godkendelse. Funktionerne, OpenEncryptedFileRawA og OpenEncryptedFileRawW, skal angiveligt gøre det muligt for trusselsaktøren at tvinge en domænecontroller til at godkende til en NTLM-relæserver under angriberens kontrol.
NTLM-relæet videresender anmodningen til et offer Active Directory Certificate Services via HTTP for at modtage en Kerberos-’billetbevillingsbillet’ (TGT). Denne gør det muligt for trusselsaktøren at påtage sig identiteten på enhver enhed på netværket, herunder en domænecontroller.
Microsofts august patch blokerer PetitPotam-vektoren
Dette NTLM-relayangreb giver trusselsaktøren mulighed for at overtage domænecontrolleren og dermed Windows-domænet.
I juli udgav Microsoft en advisory, der forklarer, hvordan man kan afbøde NTLM-angreb mod Active Directory Certificate Services (AD CS). Microsoft leverede dog ingen oplysninger om blokering af PetitPotam-vektoren, indtil researchere opdagede, hvordan de sikres ved hjælp af NETSH -filtre.
Som en del af opdateringerne i august 2021 Patch Tuesday har Microsoft udsendt en sikkerhedsopdatering, der blokerer PetitPotam-vektoren (CVE-2021-36942). Dermed kan den ikke kan tvinge en domænecontroller til at godkende mod en anden server.
Microsoft advarer om, at installation af denne opdatering kan påvirke backup-software, der anvender EFS API OpenEncryptedFileRaw (A/W) -funktionen.