La actualización de seguridad de Windows bloquea los ataques de reenvío de PetitPotam NTLM

Microsoft ha publicado actualizaciones de seguridad que bloquean el ataque de reenvío PetitPotam NTLM que permite a un actor de amenazas tomar el control de un dominio de Windows.

En julio, el investigador de seguridad GILLES Lionel, alias topotam, reveló un nuevo método llamado PetitPotam que obliga a un controlador de dominio a autenticarse contra el servidor de un actor de amenazas utilizando las funciones de la API MS-EFSRPC.

Usando el vector PetitPotam, un actor de amenazas puede usar la interfaz LSARPC de Windows para comunicarse y realizar funciones de API MS-EFSRPC sin autenticación. Las funciones, OpenEncryptedFileRawA y OpenEncryptedFileRawW, permiten al autor de la amenaza forzar la autenticación de un controlador de dominio a un servidor de retransmisión NTLM bajo el control del atacante.

El relé NTLM enviaría la solicitud a los servicios de certificados de Active Directory de la víctima a través de HTTP para recibir un vale de concesión de vale de Kerberos (TGT) que permite al autor de la amenaza asumir la identidad de cualquier dispositivo en la red, incluido un controlador de dominio.

Este ataque de reenvío NTLM permite al autor de la amenaza tomar el control del controlador de dominio y, por lo tanto, del dominio de Windows.

En julio, Microsoft lanzó un aviso de seguridad explicando cómo mitigar los ataques de reenvío NTLM dirigidos a los Servicios de certificados de Active Directory (AD CS).

Sin embargo, Microsoft no proporcionó información sobre el bloqueo del vector PetitPotam hasta que los investigadores descubrieron cómo protegerlo mediante filtros NETSH.

Microsoft bloquea el vector PetitPotam

Como parte de las actualizaciones del martes de parches de agosto de 2021, Microsoft ha lanzado una actualización de seguridad que bloquea al operador PetitPotam (CVE-2021-36942), por lo que no puede forzar la autenticación de un controlador de dominio en otro servidor.:

"Un atacante no autenticado podría llamar a un método en la interfaz LSARPC y obligar al controlador de dominio a autenticarse en otro servidor usando NTLM", explica Microsoft en el aviso CVE-2021-36942.

"Esta actualización de seguridad bloquea las llamadas API afectadas OpenEncryptedFileRawA y OpenEncryptedFileRawW a través de la interfaz LSARPC".

Microsoft advierte que la instalación de esta actualización puede afectar al software de respaldo que usa la función OpenEncryptedFileRaw (A / W) de la API de EFS.

"La API de EFS OpenEncryptedFileRaw (A / W), que se utiliza a menudo en software de copia de seguridad, sigue funcionando en todas las versiones de Windows (local y remota), excepto cuando se realiza una copia de seguridad hacia o desde un sistema que ejecuta Windows Server 2008 SP2. OpenEncryptedFileRaw ya no funcionará funcionan en Windows Server 2008 SP2 ", advierte Microsoft.

Si el software de respaldo ya no funciona después de instalar esta actualización en Windows 7 Service Pack 1 o Windows Server 2008 R2 Service Pack 1 y superior, Microsoft sugiere que se comunique con el desarrollador del software de respaldo para obtener una versión actualizada.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings