Un fallo de seguridad recientemente descubierto en el sistema operativo Windows puede ser explotado para obligar a los servidores remotos de Windows, incluidos los controladores de dominio, a autenticarse con un destino malicioso, lo que permite a un adversario realizar un ataque de retransmisión NTLM y tomar el control completo de un dominio de Windows.
El problema, apodado «PetitPotam«, fue descubierto por el investigador de seguridad Gilles Lionel, quien compartió los detalles técnicos y el código de prueba de concepto (PoC) la semana pasada, señalando que el fallo funciona forzando «a los hosts de Windows a autenticarse con otras máquinas a través de la función MS-EFSRPC EfsRpcOpenFileRaw».
MS-EFSRPC es el Protocolo Remoto del Sistema de Archivos Encriptados de Microsoft que se utiliza para realizar «operaciones de mantenimiento y gestión de datos encriptados que se almacenan de forma remota y a los que se accede a través de una red.»
En concreto, el ataque permite que un controlador de dominio se autentique contra un NTLM remoto bajo el control de un actor malicioso utilizando la interfaz MS-EFSRPC y compartiendo su información de autenticación. Esto se hace mediante la conexión a LSARPC, lo que resulta en un escenario en el que el servidor objetivo se conecta a un servidor arbitrario y realiza la autenticación NTLM.
Al forzar al ordenador objetivo a iniciar un procedimiento de autenticación y compartir sus contraseñas con hash a través de NTLM, el ataque PetitPotam puede encadenarse a un exploit dirigido a los Servicios de Certificación de Windows Active Directory (AD CS) para hacerse con el control de todo el dominio.
«Un atacante puede apuntar a un Controlador de Dominio para enviar sus credenciales utilizando el protocolo MS-EFSRPC y luego retransmitir las credenciales NTLM del DC a las páginas de Inscripción Web de los Servicios de Certificados de Active Directory AD CS para inscribir un certificado DC», dijo Hasain Alshakarti de TRUESEC. «Esto dará efectivamente al atacante un certificado de autenticación que puede ser utilizado para acceder a los servicios del dominio como un DC y comprometer todo el dominio.

Aunque la desactivación del soporte para MS-EFSRPC no impide que el ataque funcione, Microsoft ha publicado desde entonces mitigaciones para el problema, al tiempo que caracteriza a «PetitPotam» como un «ataque de retransmisión NTLM clásico», que permite a los atacantes con acceso a una red interceptar el tráfico de autenticación legítimo entre un cliente y un servidor y retransmitir esas solicitudes de autenticación validadas para acceder a los servicios de red.
«Para evitar los ataques de retransmisión NTLM en redes con NTLM habilitado, los administradores de dominio deben asegurarse de que los servicios que permiten la autenticación NTLM hagan uso de protecciones como la Protección Extendida para la Autenticación (EPA) o de funciones de firma como la firma SMB», señaló Microsoft. «PetitPotam se aprovecha de los servidores en los que los Servicios de Certificación de Active Directory (AD CS) no están configurados con protecciones para los Ataques de Retransmisión NTLM».

Para protegerse de esta línea de ataque, el fabricante de Windows recomienda a los clientes desactivar la autenticación NTLM en el controlador de dominio. En el caso de que NTLM no pueda ser desactivado por razones de compatibilidad, la compañía insta a los usuarios a tomar uno de los dos pasos siguientes
Desactivar NTLM en cualquier servidor AD CS de su dominio mediante la política de grupo Seguridad de red: Restringir NTLM: Tráfico entrante de NTLM.
Desactive NTLM para Internet Information Services (IIS) en los servidores AD CS del dominio que ejecuten los servicios «Certificate Authority Web Enrollment» o «Certificate Enrollment Web Service».
PetitPotam es el tercer problema de seguridad importante de Windows revelado en el último mes, tras las vulnerabilidades PrintNightmare y SeriousSAM (también conocida como HiveNightmare).