Doel
Het doel van deze waarschuwing is de aandacht te vestigen op een kwetsbaarheid die NTLM-relay-aanvallen op Active Directory Certificate Services mogelijk maakt en waarvoor een openbare Proof-of-Concept (PoC)-code beschikbaar is.
De bedoeling van deze waarschuwing is om systeembeheerders bewust te maken van deze kwetsbaarheid en de risico's ervan, zodat ze dienovereenkomstig kunnen handelen.
Als dat nog niet is gebeurd, raadt CCB/CyTRIS (Cyber Threat Research & Intelligence Sharing) systeembeheerders aan om zo snel mogelijk de beschikbare mitigaties op hun kwetsbare systemen toe te passen en hun systemen en netwerklogs te analyseren op verdachte activiteiten.
Samenvatting
Microsoft is op de hoogte van "PetitPotam"1, dat kan worden gebruikt bij een aanval op Windows-domeincontrollers of andere Windows-servers2. De kwetsbaarheid bestaat door een zwakte in het NTLM-authenticatieproces.
"PetitPotam" is een klassieke NTLM-relay-aanval. Met dergelijke aanvallen kan een aanvaller het authenticatieproces op afstand omzeilen en ongeoorloofde toegang tot het systeem krijgen.
Technische Details
PetitPotam maakt gebruik van servers waar Active Directory Certificate Services (AD CS) niet geconfigureerd zijn met beveiligingen tegen NTLM-relay-aanvallen. Beveiligingsonderzoeker Gilles Lionel bracht het probleem aan het licht en deelde vorige week technische details en een proof-of-concept (PoC)-code3.
De kwetsbaarheid werkt door Windows-hosts te dwingen zich te authentiseren bij andere machines via de MS-EFSRPC "EfsRpcOpenFileRaw"-functie.
Systemen zijn potentieel kwetsbaar voor deze aanval als de NTLM-authenticatie is ingeschakeld op het domein en u gebruikmaakt van Active Directory Certificate Services (AD CS) met een van de volgende diensten:
- Certificate Authority Web Enrollment
- Certificate Enrollment Web Service
Risico's
“PetitPotam" maakt misbruik van een beveiligingslek in het Windows-besturingssysteem om remote Windows-servers, waaronder domeincontrollers, te dwingen zich te authentiseren bij een kwaadaardige bestemming. Hierdoor kan een aanvaller een NTLM-relay-aanval uitvoeren en een Windows-domein volledig overnemen.
Getroffen verkopers en workarounds
Deze kwetsbaarheid treft alle versies van Microsoft Windows-servers, inclusief domeincontrollers.
CCB/CyTRIS raadt systeembeheerders aan de mitigaties opnieuw in KB500541344 te bekijken en klanten te instrueren hoe ze hun AD CS-servers kunnen beschermen tegen dergelijke aanvallen. Als de NTLM-authenticatie niet is uitgeschakeld in het domein, kan dit probleem het best worden opgelost door NTLM- authenticatie in het domein uit te schakelen na controle van het KB-artikel.
Om NTLM-relay-aanvallen op netwerken met ingeschakelde NTLM te voorkomen, moeten domeinbeheerders ervoor zorgen dat diensten die NTLM-authenticatie toestaan, gebruikmaken van beveiligingen zoals Extended Protection for Authentication (EPA) of ondertekeningsfuncties zoals SMB signing.
Windows raadt aan NTLM-authenticatie uit te schakelen op de domeincontroller. Als NTLM niet kan worden uitgeschakeld om compatibiliteitsredenen, past u een van de twee onderstaande stappen toe:
- Schakel NTLM uit op alle AD CS Servers in uw domein met behulp van het groepsbeleid Netwerkbeveiliging > NTLM beperken5 > Inkomend NTLM-verkeer.
- Schakel NTLM uit voor Internet Information Services (IIS) op AD CS-servers in het domein waarop de services "Certificate Authority Web Enrollment" of "Certificate Enrollment Web Service" worden uitgevoerd.
[1] https://github.com/topotam/PetitPotam
[2] https://msrc.microsoft.com/update-guide/vulnerability/ADV210003
[3] https://www.bleepingcomputer.com/news/microsoft/new-petitpotam-attack-allows-take-over-of-windows-domains/
[4] https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
[5] https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-incoming-ntlm-traffic