Uma vulnerabilidade que permite que um cibercriminoso assuma o controle de servidores Windows remotos (incluindo o Controlador de Domínio), fazendo com que eles autentiquem um destino malicioso (adulterado por um possível atacante).
- Falha crítica de 16 anos é encontrada em driver de centenas de impressoras populares
- O gerador de senhas seguras da Kaspersky estava… Gerando senhas inseguras
- Exclusivo: falha grave no LinkedIn permite envio de phishing pelo email oficial da empresa
A vulnerabilidade foi descoberta pelo pesquisador francês de segurança da informação, Gilles Lionel, que a chamou de PetitPotam. Ela foi testada e obteve sucesso nos sistemas Windows 10, Windows Server 2016 e 2019.
Lionel publicou uma Prova de Conceito (PoC) no GitHub, onde ele explica que um atacante pode abusar de um protocolo Encrypting File System Remote (EFSRPC) para realizar operações de manutenção e gerenciamento de dados criptografados, armazenados remotamente.
"[O PetitPotam] força os hosts Windows a se autenticarem em outras máquinas por meio da função MS-EFSRPC EfsRpcOpenFileRaw. Isso também é possível por meio de outros protocolos e funções. As ferramentas usam o pipe nomeado LSARPC com interface c681d488d850-11d0-8c52-00c04fd90f7e porque é mais prevalente. Mas é possível acionar com o pipe nomeado EFSRPC e a interface df1941c5-fe89-4e79-bf10-463657acf44d. Não precisa de credenciais no controlador de domínio", explica.
Microsoft lança atualização de segurança
O The Record, que revelou esse caso ao público, entrou em contato com a Microsoft que não respondeu ao pedido de contato da imprensa. No entanto, um dia após a divulgação da falha. A empresa lançou uma atualização de segurança, corrigindo a vulnerabilidade.
Na página de guia para essa atualização, a Microsoft explica que a vulnerabilidade de Lionel pode resultar em um ataque clássico de NTLM Relay.
"Para evitar ataques de retransmissão NTLM em redes com NTLM habilitado, os administradores de domínio devem garantir que os serviços que permitem a autenticação NTLM usem proteções como Proteção Estendida para Autenticação (EPA) ou recursos de assinatura, como assinatura SMB".
"PetitPotam tira proveito de servidores onde os Serviços de Certificados do Active Directory (AD CS) não estão configurados com proteções para ataques de retransmissão NTLM. As atenuações descritas em KB5005413 instruem os clientes sobre como proteger seus servidores AD CS de tais ataques", diz a Microsoft.
Fontes: The Record; Gilles Lionel; Microsoft.