Los ataques de relé NTLM explicados y por qué PetitPotam es más peligroso

08:18 13/09/2021 | 1 Lượt xem

Microsoft Active Directory (AD), que maneja la gestión de identidades, supuestamente posee entre el 90% y el 95% de la participación de mercado entre las empresas Fortune 500. Dada esta adopción generalizada, no sorprende que sea un objetivo para investigadores y actores malintencionados. Entre los tipos de ataques más citados contra AD se encuentran los protocolos heredados. Uno de esos protocolos que recibe mucha atención de los atacantes es NT LAN Manager (NTLM).

NTLM existe desde hace más de 20 años. Se utiliza para la autenticación en los primeros sistemas de Windows, lo que lleva a Windows 2000. Utiliza un mecanismo de desafío-respuesta para autenticar a los clientes. Aunque muchas organizaciones se han cambiado a Kerberos, muchos sistemas y aplicaciones heredados aún admiten o usan NTLM. También se usa en escenarios en los que necesita unirse a un grupo de trabajo, iniciar sesión de autenticación local en controladores que no son de dominio o, en algunos casos, para aplicaciones que no son de Microsoft.

Definición de ataque de relé NTLM

Un ataque de retransmisión NTLM aprovecha el mecanismo de desafío-respuesta de NTLM. Un atacante intercepta las solicitudes de autenticación legítimas y las reenvía al servidor. El cliente que envió originalmente la solicitud recibe los desafíos apropiados, pero el atacante intercepta las respuestas y las reenvía al servidor, que luego autentica al atacante en lugar de a la persona o dispositivo que realizó la solicitud.

Si bien los ataques de retransmisión NTLM están lejos de ser nuevos, los investigadores y los actores maliciosos continúan encontrando nuevas formas de explotar este protocolo de autenticación. El reciente ataque a PetitPotam es un buen ejemplo.

Por qué PetitPotam es diferente

PetitPotam fue lanzado por el investigador de seguridad Gilles Lionel, quien lanzó una prueba de concepto (PoC) del exploit en GitHub. Lo que hace que PetitPotam sea particularmente preocupante es que permite que los servidores de Windows, incluidos los controladores de dominio, sean obligados a autenticarse con un objetivo malicioso, lo que permite a los adversarios tomar el control de todo un dominio de Windows.

Los ataques de retransmisión NTLM anteriores se centraban en el abuso de la función API de impresión MS-RPRN que forma parte de los entornos de Microsoft. A medida que estas variaciones del ataque ganaron notoriedad, las organizaciones comenzaron a deshabilitar MS-RPRN para bloquear el vector de ataque. PetitPotam ha adoptado un nuevo enfoque, utilizando la función EfsRpcOpenFileRaw de la API de Microsoft File Encryption System Remote Protocol (MS-EFSRPC).

Las organizaciones de investigación y los proveedores de seguridad como Rapid7 han analizado el PoC y han declarado que “este ataque es demasiado fácil”. Permitir que un atacante no autenticado tome el control de un dominio de Windows en AD puede perjudicar a algunas organizaciones, por lo que vale la pena explorar cómo funciona PetitPotam y cómo mitigarlo.

¿Cómo actúa PetitPotem?

Como se menciona en la documentación de Microsoft, EfsRpcOpenFileRaw realiza operaciones de mantenimiento y administración en datos cifrados que se almacenan de forma remota y se accede a ellos a través de una red. Si bien los intentos anteriores de ataques de retransmisión NTLM se han dirigido a la API de MS-RPRN, abusar de EfsRpcOpenFileRaw es un nuevo enfoque.

Las API de MS-RPRN y MS-EFSRPC están habilitadas de forma predeterminada, lo que probablemente deje a muchas organizaciones vulnerables sin protegerse contra estos ataques. En el ejemplo de PetitPotam, el entorno de la víctima se autentica en un NTLM remoto controlado por un adversario utilizando el MS-EFSRPF mencionado anteriormente y comparte su información de autenticación. Esta información de autenticación incluye contraseñas hash a través de NTLM.

Si bien exponer contraseñas con hash es suficientemente malo, un atacante usa estas contraseñas con hash para aumentar su nivel de control. Los atacantes pueden tomar las credenciales recuperadas y pasarlas a una página web de inscripción de Servicios de certificados de Active Directory (AD CS) para inscribir un certificado de controlador de dominio (DC). Esto permite a los atacantes tener un certificado de autenticación que pueden usar para acceder a servicios de dominio como un controlador de dominio. Esto pone en riesgo todo el dominio de Windows. Cuando tiene grandes entornos corporativos que usan Microsoft AD y tienen su base de usuarios organizada en dominios, esto es un gran riesgo con un impacto potencialmente devastador.

Mitigación de ataques de retransmisión NTLM

Dado el amplio alcance e impacto de PetitPotam, las organizaciones brindaron asesoramiento de mitigación a quienes pudieran verse afectados. Esto incluye a Microsoft y a otros como la Agencia de Seguridad de Infraestructura y Seguridad Cibernética de EE. UU. (CISA), lo que ayudó a difundir la guía para mitigar el ataque de retransmisión NTLM de PetitPotam. El consejo de Microsoft para prevenir ataques de retransmisión NTLM incluye el uso de salvaguardas como Protección Extendida para Autenticación (EPA) y características de firma como la firma SMB, que discutiremos a continuación. Además, Microsoft recomienda que los clientes deshabiliten completamente la autenticación NTLM en el controlador de dominio.

La guía de Microsoft se emitió en forma de KB5005413: Mitigación de ataques de retransmisión NTLM en Servicios de certificados de Active Directory (AD CS). Microsoft menciona que aquellos que utilizan los servicios web de inscripción web de autoridad de certificación y de inscripción de certificado son particularmente vulnerables a PetitPotam.

Entre las principales recomendaciones para cualquier persona que deba usar NTLM está habilitar EPA. Esto habilita la autenticación en modo kernel, que según Microsoft puede mejorar el rendimiento de la autenticación y evitar problemas de autenticación o, en este caso, vulnerabilidades. Microsoft también recomienda habilitar ExtendedProtectionPolicy después de habilitar EPA y requerir SSL, que solo permitirá conexiones cifradas con HTTPS.

El consejo de mitigación adicional proporcionado por Microsoft es deshabilitar la autenticación NTLM en su controlador de dominio de Windows, deshabilitar NTLM en cualquier servidor AD CS en su dominio a través de la Política de grupo y deshabilitar NTLM para Internet Information Services (IIS) en cualquier servidor AD CS en su dominio. Estos cambios ayudan a forzar la autenticación para negociar: Kerberos.

Los ataques de retransmisión NTLM, especialmente aquellos que pueden apoderarse de dominios, pueden tener un impacto devastador en los entornos corporativos de Windows que utilizan Active Directory. Esto es aún más cierto en los entornos arquitectónicos modernos que ven la identidad como el nuevo perímetro.

Si bien la migración de NTLM a Kerberos sigue siendo el principal consejo, no siempre es práctico, según el entorno y las aplicaciones y la arquitectura existentes. En los casos en que esto no sea posible, se recomienda encarecidamente seguir los consejos de los principales investigadores de seguridad, expertos y Microsoft para evitar ser una víctima.

Copyright © 2021 IDG Communications, Inc.

Related Posts

Agregar fondos a archivos PDF

Este artículo explicará cómo agregar un fondo a un PDF con Foxit PDF Editor. Para agregar un nuevo fondo, haga lo siguiente: 1. Abra un documento al que desee agregar un fondo y elija...

lên đầu trang