Silverfort Sicherheitshinweis: NTLM-Relay zu AD CS – PetitPotam und Druckerfehler

Der PetitPotam-Angriff, veröffentlicht auf GitHub, bewirkt, dass sich ein Remoteserver bei einem Zielserver mit authentifiziert NTLM, mithilfe eines MS-EFSRPC-Befehls namens EfsRpcOpenFileRaw. MS-EFSRPC ist ein Protokoll, das den Fernzugriff auf verschlüsselte Dateien ermöglicht. Es ist schlecht, einen Server dazu zu bringen, sich mit NTLM remote zu authentifizieren, da es verwendet werden kann, um NTLM-Relay-Angriffe auszulösen.

Ein besonders gefährlicher NTLM-Relay-Angriff ist einer, der auf Folgendes abzielt Active Directory Zertifikatsdienste (AD CS). In einem Whitepaper (siehe ESC8) erklären SpecterOps, wie man einen NTLM-Relay-Angriff auf AD CS verwendet, um eine Maschine zu übernehmen oder sich als diese Maschine auszugeben. Um sich als Maschine auszugeben, wird von der Maschine ein Client-Zertifikat angefordert. Nachdem der Angreifer das Client-Zertifikat erhalten hat, kann er eine der folgenden Techniken verwenden, um die Domäne oder den Zielcomputer zu übernehmen:

1. Wenn es sich bei dem Computer um einen Domänencontroller oder einen anderen privilegierten Computer handelt, kann er die Anmeldeinformationen verwenden, um Geheimnisse aus dem Verzeichnis zu synchronisieren, wodurch die Domäne effektiv kompromittiert wird.
2. Der Angreifer kann das S4U2Self-Protokoll verwenden, um als beliebiger Benutzer ein Dienstticket für den Zielcomputer zu erhalten.
3. Der Angreifer kann PKInit verwenden, um den NT-Hash der Maschine zu erhalten, und dann einen Silver-Ticket-Angriff ausführen.

Der Druckerfehler

Diese Sicherheitsanfälligkeit ist verwandt, unterscheidet sich jedoch von der Druckerfehler (präsentiert auf der DerbyCon 2018 von Will Schroeder). Diese Schwachstelle ermöglicht es einem Angreifer, ein NTLM auszulösen Beglaubigung von jedem Client, der den PrinterSpooler-Dienst ausführt. Die unten bereitgestellten Abhilfemaßnahmen verhindern, dass sowohl PetitPotam als auch der Printer Bug eine NTLM-Weiterleitung an den AD CS-Server durchführen, blockieren jedoch keinen NTLM-Weiterleitungsangriff auf ein anderes Ziel. Da in letzter Zeit mehrere Schwachstellen im Druckerspooler veröffentlicht wurden, empfehlen wir, den Druckerspooler auf allen Mitgliedsservern und Domänencontrollern zu deaktivieren, die nicht gedruckt werden müssen.

Microsoft-Anleitung

Microsoft wird diese Schwachstelle nicht beheben, rät jedoch zu mehreren möglichen Milderungen. Die bevorzugte Minderung ist ziemlich extrem – zu Deaktivieren Sie NTLM in der Domäne vollständig. Meiner Erfahrung nach ist das kein praktischer Rat, NTLM beansprucht normalerweise zweistellige Prozentwerte aller Authentifizierungen im Netzwerk. Diese auf Null zu reduzieren, ist normalerweise nicht praktikabel. Die andere Abmilderung, die sie empfehlen, ist Beschränken Sie den eingehenden NTLM-Datenverkehr in den AD CS-Server. Wenn es zu hart ist, NTLM auf den gesamten Server zu beschränken, gibt Microsoft Anweisungen dazu Deaktivieren Sie NTLM für die Dienste „Certificate Authority Web Enrollment“ oder „Certificate Enrollment Web Service“. auf IIS-Ebene. Als letzten Ausweg empfiehlt Microsoft Aktivieren von EPA für AD CS.

Silverfort Zielführung

Der knifflige Teil der Empfehlung von Microsoft besteht darin, die für Ihre Umgebung geeignete Risikominderung auszuwählen. Wir empfehlen folgendes für Silverfort Kunden:

1. Listen Sie alle AD CS-Server in Ihrer Domäne auf – wir empfehlen, speziell in der Sicherheitsgruppe Cert Publishers nachzusehen, um eine Liste verdächtiger AD CS-Server zu finden. Filtern Sie jeweils die Silverfort log für die NTLM-Authentifizierung bei diesem Server.
2. Wenn es keine NTLM-Authentifizierung für einen der AD CS-Server gibt, deaktivieren Sie NTLM in den AD CS-Servern.
3. Befolgen Sie andernfalls die Anweisungen von Microsoft für Aktivieren von EPA für AD CS.