Ran Harel
Actualização de 10 de Agosto de 2021: A Microsoft lançou um patch que cobre parcialmente a coerção de autenticação PetitPotam inicial através do MS-EFSR. 

Logo a seguir ao PrintNightmare e ao SeriousSam, temos agora outro vector de ataque de grande impacto em domínios Windows que é relativamente fácil de executar e difícil de mitigar.

O que agora está a ser aclamado no Twitter como #PetitPotam é uma combinação de vários ataques que requerem apenas acesso à rede com potencial para obter permissões completas de administrador de domínio.

A exposição original, PetitPotam, é uma exposição de coerção de autenticação. Pouco depois da sua descoberta, foi combinada por vários investigadores com um ataque exposto pela SpecterOps há alguns meses, denominado "ESC8", contra os Serviços de Certificados AD. Na altura, a SpecterOps referiu-se a uma vulnerabilidade de coerção de autenticação mais antiga nos Spoolers de Impressão descoberta por @elad_shamir e referida como o "Bug da Impressora".

Este é o aspecto da trajectória de ataque completa:

  1. Um atacante coage uma conta privilegiada a autenticar-se numa máquina controlada. Não é necessária uma conta de domínio. Este é o PetitPotamoriginal - umaferramenta PoC lançada em 18 de Julho no GitHub pelo investigador francês Gilles Lionel (@topotam77) que chama EFSRPC (Encrypting File System Remote) para se autenticar como o serviço em execução (incluindo Controladores de Domínio).
  2. O atacante retransmite essa autenticação para um serviço susceptível utilizando a retransmissão NTLM. Devido a uma falha de concepção como protocolo de autenticação desafio-resposta, a autenticação NTLM é susceptível a ataques de retransmissão. A Microsoft sugere a desactivação total do NTLM ou a instalação do EPA.
  3. Neste ataque, os serviços que são susceptíveis de retransmissão NTLM são o CA Web Enrollment e o Certificate Enrollment Web Service - parte dos Serviços de Certificados do Active Directory (AD CS) - serviços que são responsáveis pela inscrição e emissão de (entre outras coisas) certificados de autenticação de clientes.
  4. O atacante usa o acesso privilegiado do ataque de retransmissão NTLM para obter privilégios escalados persistentes, emitindo para si um certificado em nome da conta coagida. Esta abordagem permite-lhes autenticar-se em serviços adicionais ou obter um silver ticket.

Como detectar e mitigar o PetitPotam

A Microsoft divulgou informações sobre a atenuação, disponíveis aqui.

Semperis Directory Services Protector (DSP) 3.5 inclui um indicador de exposição para detectar ambientes susceptíveis:

  • "Autoridade de Certificação AD com Inscrição Web ("PetitPotam", "ESC8″)" verifica o acesso NTLM ao serviço de Inscrição Web. Se este indicador encontrar resultados sem a EPA activada, o ambiente está exposto a este ataque.
  • Estamos também a trabalhar em indicadores adicionais para verificar e atenuar a coerção EFSRPC e a retransmissão NTLM. Estes indicadores serão actualizados automaticamente para os clientes de DSP .