Après #printNightmare et #SeriousSAM vient PetitPotam. Il s’agit d’une demande du réseau interne pour des requêtes SMB au protocole MS-EFSRPC de la victime. Lors d’une tentative d’authentification, il partagera son hachage NTLM avec l’attaquant. A partir de là, avec des techniques connues de « pass the hash », il peut prendre le contrôle du contrôleur de domaine. Il s’agit en fait d’une nouvelle façon d’exploiter de vieux problèmes dont l’environnement des contrôleurs de domaine Windows souffre depuis des années. L’origine de la faille est que l’attaquant « provoque » la victime pour qu’elle s’authentifie, de sorte qu’il lui envoie tout ce dont il a besoin pour voler les informations nécessaires pour se faire passer pour elle.
Dans ce cas, après avoir « provoqué » la victime, l’attaque profite du fait que les services de certification Active Directory utilisent NTLM sur HTTP pour s’authentifier. L’idée est d’essayer d’obtenir un certificat valide via IIS une fois que le hachage « volé » a été obtenu. Mais cela n’a en fait rien à voir avec PetitPotam.
Il existe une preuve de concept. Microsoft a publié un avis, mais curieusement, les détails de l’attaque sont très rares. En gros, les mesures habituelles contre les attaques par relais NTLM : activer Extended Protection for Authentication (EPA) ou signer les paquets SMB. Microsoft ne mentionne même pas le vecteur d’attaque MS-EFSRPC, mais sera obligé de le corriger à l’avenir, car c’est là que réside la faille, dans la possibilité de « demander » à ce protocole de tenter « involontairement » de s’authentifier auprès d’une autre victime. Le fait que ce hash soit ensuite « exploité » par « Active Directory Certificate Services » n’est qu’une formule pour prendre le contrôle de l’Active Directory, puisqu’avec ce certificat, l’attaquant tentera probablement d’obtenir un ticket Kerberos signé.
Plus d’information:
https://msrc.microsoft.com/update-guide/vulnerability/ADV210003
