Silverfort Aviso de segurança: Retransmissão NTLM para AD CS – PetitPotam e bug de impressora

O ataque PetitPotam, publicado no GitHub, faz com que um servidor remoto se autentique em um servidor de destino com NTLM, usando um comando MS-EFSRPC chamado EfsRpcOpenFileRaw. MS-EFSRPC é um protocolo que permite acesso remoto a arquivos criptografados. Fazer com que um servidor se autentique remotamente com NTLM é ruim, porque pode ser usado para acionar ataques de retransmissão NTLM.

Um ataque de retransmissão NTLM particularmente perigoso é aquele que tem como alvo o Active Directory Serviços de certificado (AD CS). Em um whitepaper (consulte ESC8), SpecterOps explica como usar um ataque de retransmissão NTLM no AD CS para assumir o controle de uma máquina ou personificar essa máquina. Para representar a máquina, um certificado de cliente é solicitado pela máquina. Tendo obtido o certificado do cliente, o invasor pode então usar uma das seguintes técnicas para assumir o controle do domínio ou da máquina alvo:

1. Se a máquina for um controlador de domínio ou outro computador privilegiado, ela poderá usar as credenciais para sincronizar segredos do diretório, comprometendo efetivamente o domínio.
2. O invasor pode usar o protocolo S4U2Self para obter um tíquete de serviço para a máquina alvo como qualquer usuário.
3. O invasor pode usar o PKInit para obter o hash NT da máquina e, em seguida, executar um ataque de ticket prateado.

O bug da impressora

Esta vulnerabilidade está relacionada, mas diferente da Bug da impressora (apresentado na DerbyCon 2018 por Will Schroeder). Esta vulnerabilidade permite que um invasor acione um NTLM autenticação por qualquer cliente executando o serviço PrinterSpooler. As mitigações fornecidas abaixo impedirão que o PetitPotam e o Printer Bug executem a retransmissão NTLM para o servidor AD CS, mas não bloquearão um ataque de retransmissão NTLM para um alvo diferente. Como várias vulnerabilidades do spooler de impressora foram publicadas recentemente, recomendamos desabilitar o spooler de impressora em todos os servidores membros e controladores de domínio que não precisam de impressão.

Orientação da Microsoft

A Microsoft não corrigirá esta vulnerabilidade, mas está aconselhando vários possíveis mitigações. A mitigação preferida é bastante extrema – desabilitar completamente o NTLM no domínio. Na minha experiência, esse não é um conselho prático, o NTLM geralmente ocupa uma porcentagem de dois dígitos de toda a autenticação na rede. Reduzir isso a zero geralmente é impraticável. A outra mitigação que eles recomendam é restringir o tráfego NTLM de entrada no servidor AD CS. Se restringir o NTLM a todo o servidor for muito severo, a Microsoft instruirá como desabilitar o NTLM para os serviços “Certificate Authority Web Enrollment” ou “Certificate Enrollment Web Service” no nível do IIS. Como último recurso, a Microsoft recomenda habilitando EPA para AD CS.

Silverfort Orientação

A parte complicada da recomendação da Microsoft é escolher a mitigação certa para o seu ambiente. Recomendamos o seguinte para Silverfort clientes:

1. Liste todos os servidores AD CS em seu domínio – recomendamos consultar especificamente o grupo de segurança Cert Publishers para encontrar uma lista de servidores AD CS suspeitos. Para cada um, filtre o Silverfort log para autenticação NTLM nesse servidor.
2. Se não houver autenticação NTLM para nenhum dos servidores AD CS, desabilitar NTLM nos servidores AD CS.
3. Caso contrário, siga as instruções da Microsoft para habilitando EPA para AD CS.