Vulnerabilidad de obtención de hashes NTLM en Windows

ANÁLISIS

El día 23 de julio de 2021 se publicó la vulnerabilidad refeerida como "PetitPotam", donde el problema se produce cuando un atacante abusa de  MS-EFSRPC , un protocolo que permite a las máquinas con Windows realizar operaciones con datos cifrados almacenados en sistemas remotos [3]. El código PoC de ataque  permite a un actor hostil enviar solicitudes SMB a la interfaz MS-EFSRPC de un sistema remoto y forzar a la máquina de la víctima a iniciar un procedimiento de autenticación en el que comparte detalles de autenticación.

Esta vulnerabilidad podría explotarse en grandes redes corporativas donde los actores hostiles podrían usarlo para obligar a los controladores de dominio a deshacerse de sus hashes de contraseña NTLM o certificados de autenticación, lo que podría llevar a la toma completa de un red interna de la empresa [3].

La deshabilitación del soporte para MS-EFSRPC no funcionó para mitigar este ataque [1] [4].

RECOMENDACIONES 

Para evitar ataques de retransmisión NTLM en redes con NTLM habilitado, los administradores de dominio deben asegurarse de que los servicios que permiten la autenticación NTLM utilicen protecciones como la Protección Extendida para la Autenticación (EPA) o características de firma como la firma SMB [2]. 

Si su autenticación NTLM está habilitada en su dominio y está utilizando los Servicios de certificados de Active Directory (AD CS) con cualquiera de los siguientes servicios, su sistema operativo es potencialmente vulnerable [2]:

- Certificate Authority Web Enrollment

- Certificate Enrollment Web Service

REFERENCIAS 

[1] https://securityaffairs.co/wordpress/120489/hacking/windows-petitpotam-attack.html 
[2] https://msrc.microsoft.com/update-guide/vulnerability/ADV210003
[3] https://therecord.media/new-petitpotam-attack-forces-windows-hosts-to-share-their-password-hashes/
[4] https://research.checkpoint.com/2021/26th-july-threat-intelligence-report/