Silverfort Aviso de seguridad: Retransmisión NTLM a AD CS: error de impresora y PetitPotam

El ataque de PetitPotam, publicado en GitHub, hace que un servidor remoto se autentique en un servidor de destino con NTLM, utilizando un comando MS-EFSRPC llamado EfsRpcOpenFileRaw. MS-EFSRPC es un protocolo que permite el acceso remoto a archivos cifrados. Hacer que un servidor se autentique con NTLM de forma remota es malo, porque puede usarse para desencadenar ataques de retransmisión NTLM.

Un ataque de retransmisión NTLM particularmente peligroso es aquel que tiene como objetivo el Active Directory Servicios de certificados (AD CS). en un whitepaper (consulte ESC8), SpecterOps explica cómo utilizar un ataque de retransmisión NTLM en AD CS para hacerse cargo de una máquina o hacerse pasar por esa máquina. Para hacerse pasar por la máquina, la máquina solicita un certificado de cliente. Una vez obtenido el certificado de cliente, el atacante puede utilizar una de las siguientes técnicas para apoderarse del dominio o de la máquina de destino:

1. Si la máquina es un controlador de dominio u otra computadora privilegiada, puede usar las credenciales para sincronizar secretos del directorio, comprometiendo efectivamente el dominio.
2. El atacante puede utilizar el protocolo S4U2Self para obtener un ticket de servicio para la máquina objetivo como cualquier usuario.
3. El atacante puede usar PKInit para obtener el hash NT de la máquina y luego ejecutar un ataque de ticket plateado.

El error de la impresora

Esta vulnerabilidad está relacionada pero es diferente de la Error de impresora (presentado en DerbyCon 2018 por Will Schroeder). Esta vulnerabilidad permite a un atacante activar un NTLM autenticación por cualquier cliente que ejecute el servicio PrinterSpooler. Las mitigaciones proporcionadas a continuación evitarán que tanto PetitPotam como Printer Bug realicen una retransmisión NTLM al servidor AD CS, pero no bloquearán un ataque de retransmisión NTLM a un objetivo diferente. Dado que últimamente se han publicado varias vulnerabilidades de Printer Spooler, recomendamos deshabilitar Printer Spooler en todos los servidores miembros y controladores de dominio que no necesitan impresión.

Orientación de Microsoft

Microsoft no solucionará esta vulnerabilidad, pero advierte sobre varias posibles mitigaciones. La mitigación preferida es bastante extrema: deshabilitar completamente NTLM en el dominio. En mi experiencia, ese no es un consejo práctico, NTLM generalmente ocupa un porcentaje de dos dígitos de toda la autenticación en la red. Reducirlo a cero suele ser poco práctico. La otra mitigación que recomiendan es restringir el tráfico NTLM entrante en el servidor AD CS. Si restringir NTLM a todo el servidor es demasiado estricto, Microsoft indica cómo hacerlo. deshabilite NTLM para los servicios “Inscripción web de autoridad certificadora” o “Servicio web de inscripción de certificados” a nivel IIS. Como último recurso, Microsoft recomienda Habilitación de EPA para AD CS.

Silverfort Dirección

La parte complicada de la recomendación de Microsoft es elegir la mitigación adecuada para su entorno. Recomendamos lo siguiente para Silverfort clientes:

1. Enumere todos los servidores AD CS en su dominio; recomendamos buscar específicamente en el grupo de seguridad Cert Publishers para encontrar una lista de servidores AD CS sospechosos. Para cada uno, filtre el Silverfort log para la autenticación NTLM en ese servidor.
2. Si no hay autenticación NTLM en ninguno de los servidores AD CS, deshabilite NTLM en los servidores AD CS.
3. De lo contrario, siga las instrucciones de Microsoft para Habilitación de EPA para AD CS.