Fecha de publicación: Mié, 28/07/2021 - 17:08

Descripción

NTLM utiliza un protocolo de desafío/respuesta para cualquier solicitud de autenticación:

  • NTLM establece un protocolo de enlace de tres vías durante la autenticación cliente-servidor, estableciendo una ruta al servidor y negociando la autenticación.

  • El servidor responde al mensaje de negociación del cliente con un desafío, pidiéndole al cliente que cifre una secuencia de caracteres usando un secreto que posee: un hash de contraseña.

  • El cliente envía una respuesta al servidor, que se pone en contacto con un servicio de autenticación de dominio alojado en un controlador de dominio para verificar la respuesta.

En un ataque de retransmisión (relay) NTLM, un atacante establece una posición entre el cliente y el servidor en la red e intercpeta el tráfico de autenticación. Las solicitudes de autenticación del cliente son enviadas al servidor por el atacante, de manera similar, los desafíos del cliente se envían de vuelta al servidor, lo que permite al atacante, en lugar del cliente, autenticarse utilizando los datos y credenciales del cliente.

En los ataques de relay, el cliente cree que está negociando con el servidor de destino al que desea autenticarse. Mientras tanto, el servidor cree que el atacante es un cliente legítimo que intenta autenticarse.

PetitPotam (apodado así por la comunidad debido a su descubridor Gilles Lionel (Topotam)), es un ataque increíblemente poderoso. El protocolo MS-EFSRPC se puede utilizar para obligar a cualquier host de Windows, incluidos los controladores de dominio, autenticarse en un destino específico. El destino designado reenvía las credenciales NTLM a otro servicio que está configurado para aceptar WIA/NTLM, lo que resulta en un abuso de los servicios.

Un atacante puede apuntar a un controlador de dominio para enviar sus credenciales mediante el uso del protocolo MS-EFSRPC y luego retransmitir las credenciales DC NTLM a las páginas de inscripción web de Active Directory y Certificate Services AD CS para inscribir un certificado DC. Esto le dará al atacante un certificado de autenticación que se puede utilizar para acceder a los servicos de dominio con un DC y comprometer todo el dominio.

AD CS es especialmente interesante ya que ofrece servicios de rol que de forma predeterminada aceptan la autenticación basada en NTLM. La inscripción web de la autoridad de certificación y el servicio web de inscripción de certificados se pueden utilizar para emitir certificados mediante la realización de ataques de retransmisión NTLM utilizando MS-EFSRPC, MS-RPRN u otra API que ofrezca un comportamiento similar.

Productos afectados

  • Windows XP Service Pack 2 y Windows XP Service Pack 3
  • Windows XP para sistemas basados en x64 Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 para sistemas basados en x64 Service Pack 2
  • Windows Server 2003 para sistemas basados en Itanium Service Pack 2
  • Windows Vista, Windows Vista Service Pack 1 y Windows Vista Service Pack 2
  • Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 y Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 para sistemas de 32 bits y Windows Server 2008 para sistemas de 32 bits Service Pack 2
  • Windows Server 2008 para sistemas basados en x64 y Windows Server 2008 para sistemas basados en x64 Service Pack 2
  • Windows Server 2008 para sistemas basados en Itanium y Windows Server 2008 para sistemas basados en Itanium Service Pack 2
  • Windows 7 para sistemas de 32 bits *
  • Windows 7 para sistemas basados en x64 *
  • Windows Server 2008 R2 para sistemas basados en x64 *
  • Windows Server 2008 R2 para sistemas basados en Itanium *
  • * Windows 7 y Windows Server 2008 R2 proporcionan protección ampliada para la autenticación como una función de la interfaz de proveedor de soporte de seguridad (SSPI). Las aplicaciones que se ejecutan en estos sistemas operativos aún pueden estar expuestas a la transmisión de credenciales si el sistema operativo o la aplicación no están configurados para admitir esta función. La protección ampliada para la autenticación no está habilitada de forma predeterminada.

Mitigación

Para protegerse contra esta línea de ataque, el fabricante de Windows recomienda que los clientes deshabiliten la autenticación NTLM en el controlador de dominio. En caso que NTLM no se pueda apagar por razones de comptatibilidad, la compañía insta a los usuarios a que sigan uno de los dos pasos siguientes:

  • Desactive NTLM en cualquier servidor AD CS de su dominio mediante la política de grupo de seguridad de red: Restringir NTLM: tráfico NTLM entrante.
  • Deshabilite NTLM para Internet Information Services (IIS) en los servidores AD CS en el dominio que ejecuta los servicios de “Inscripción web de autoridad de certificación” o “Servicio web de inscripción de certificados”.

Utilizar Kerberos: El paso más importante que pueden dar organizaciones para eliminar la amenaza de los ataques de retransmisión NTLM es dejar de usarlo. Kerberos es el remplazo preferido de Micrososft para NTLM desde el lanzamiento de la plataforma Windows 2000. A diferencia de NTLM, Kerberos utiliza la autenticación mutua entre el cliente y el servidor en lugar del desafío-respuesta de NTLM. Los clientes deben ser parte de un dominio y tener acceso a un controlador de dominio para intentar la autenticación. Con NTLM, los clientes se comunican con el servidor que luego se comunica con el controlador de dominio. Kerberos existe en Windows Server y es más seguro que NTLM, que adolece de una serie de vulnerabilidades nativas, incluida la falta de autenticación del servidor y una criptografía débil, además de un rendimiento más lento en comparación con Kerberos.

Configuraciones, parches y actualizaciones para mitigar los ataques de retransmisión:

  • Activar firmas de SMB para mitigar los ataques de retransmisión NTLM.
  • Aplicar la firma LDAP y el enlace de canales LDAPS en los controladores de dominio.
  • Habilitar la protección mejorada de autenticación para mitigar los ataques de retransmisión NTLM en ADFS y servidores web.
  • Configurar ADFS y servidores web para aceptar solo solicitudes donde EPA esté activado.

Pruebas de concepto

EL investigador de seguridad Gilles Lionel, quien compartió detalles técnicos y código de prueba de concepto en github.

Benjamin Delpy, investigador de seguridad y creador de Mimikatz probó la técnica y creó un video demostrando cómo los actores de amenaza pueden abusar de ella.

Recomendación

Asegúrese que sus sistemas estén completamente protegidos con las últimas actualizaciones de seguridad.

Hacer cumplir las mitigaciones de NTLM. Para estar completamente protegido contra ataques de retransmisión NTLM, deberá habilitar la firma del servidor y EPA en todos los servidores relevantes.

Identificador CVE

La vulnerabilidad asociada con NTLM está identificada como :

CVE-2021-1678, que es una vulnerabilidad de omisión de funciones de seguridad NTLM,

Referencias

https://thehackernews.com/2021/07/new-petitpotam-ntlm-relay-attack-lets.html

https://www.bleepingcomputer.com/news/security/new-microsoft-ntlm-flaws-may-allow-full-domain-compromise/

https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

https://docs-microsoft-com.translate.goog/en-us/security-updates/SecurityAdvisories/2009/974926?_x_tr_sl=auto&_x_tr_tl=es&_x_tr_hl=es-419&_x_tr_pto=ajax,se,elem