Home Ça parle de Cyberattaques & Technologies La mise à jour de sécurité Windows bloque les attaques par relais PetitPotam NTLM

La mise à jour de sécurité Windows bloque les attaques par relais PetitPotam NTLM

Lawrence Abrams
-
0

[ad_1]

Microsoft a publié des mises à jour de sécurité qui bloquent l’attaque par relais PetitPotam NTLM qui permet à un acteur malveillant de prendre le contrôle d’un domaine Windows.

En juillet, le chercheur en sécurité GILLES Lionel, alias Topotam, a dévoilé une nouvelle méthode appelée PetitPotam qui oblige un contrôleur de domaine à s’authentifier contre le serveur d’un acteur malveillant à l’aide des fonctions de l’API MS-EFSRPC.

En utilisant le vecteur PetitPotam, un acteur malveillant peut utiliser l’interface Windows LSARPC pour communiquer et exécuter les fonctions de l’API MS-EFSRPC sans authentification. Les fonctions, OpenEncryptedFileRawA et OpenEncryptedFileRawW, permettent à l’acteur malveillant de forcer un contrôleur de domaine à s’authentifier auprès d’un serveur relais NTLM sous le contrôle de l’attaquant.

Le relais NTLM transmettrait la demande aux services de certificats Active Directory d’une victime via HTTP pour recevoir un ticket d’octroi de tickets Kerberos (TGT) qui permet à l’acteur de la menace d’assumer l’identité de n’importe quel périphérique sur le réseau, y compris un contrôleur de domaine.

Cette attaque par relais NTLM permet à l’acteur menaçant de prendre le contrôle du contrôleur de domaine, et donc du domaine Windows.

En juillet, Microsoft a publié un avis de sécurité expliquant comment atténuer les attaques par relais NTLM ciblant les services de certificats Active Directory (AD CS).

Cependant, Microsoft n’a fourni aucune information sur le blocage du vecteur PetitPotam jusqu’à ce que les chercheurs découvrent comment le sécuriser à l’aide de filtres NETSH.

Microsoft bloque le vecteur PetitPotam

Dans le cadre des mises à jour du Patch Tuesday d’août 2021, Microsoft a publié une mise à jour de sécurité qui bloque le vecteur PetitPotam (CVE-2021-36942), de sorte qu’il ne peut pas forcer un contrôleur de domaine à s’authentifier sur un autre serveur. :

« Un attaquant non authentifié pourrait appeler une méthode sur l’interface LSARPC et contraindre le contrôleur de domaine à s’authentifier auprès d’un autre serveur utilisant NTLM », explique Microsoft dans l’avis CVE-2021-36942.

« Cette mise à jour de sécurité bloque l’API affectée…

Voir la source de cette publication

[ad_2]

© Newspaper WordPress Theme by TagDiv