Недавнее обновление безопасности для атаки ретрансляции NTLM в Windows подтвердило, что она является ранее не исправленным вектором атаки PetitPotam.
Во вторник исправлений 2022 мая Microsoft выпустила обновление безопасности для активно эксплуатируемой атаки NTLM Relay Attack, обозначенной как ‘Windows LSA Spoofing Vulnerability’ и отслеживаемой как CVE-2022-26925.
«Неаутентифицированный злоумышленник может вызвать метод на интерфейсе LSARPC и заставить контроллер домена аутентифицироваться для злоумышленника с помощью NTLM. Это обновление безопасности обнаруживает попытки анонимного подключения в LSARPC и запрещает их.»
Атака NTLM Relay Attack позволяет субъектам угроз заставлять устройства, даже контроллеры домена, проходить аутентификацию на контролируемых ими вредоносных серверах. Как только устройство проходит аутентификацию, вредоносный сервер может выдать себя за устройство и получить все его привилегии.
Эти атаки представляют собой серьезную проблему, поскольку они могут позволить субъекту угрозы получить полный контроль над доменом.
Хотя Microsoft не поделилась слишком многими подробностями об ошибке, она заявила, что исправление затрагивает функцию EFS API OpenEncryptedFileRaw(A/W), что указывает на то, что это может быть еще один непропатченный вектор для атаки PetitPotam.
Подтверждено, что он является частью Petitotam
PetitPotam — это атака NTLM Relay Attack, отслеживаемая как CVE-2021-36942, которую обнаружил французский исследователь безопасности GILLES Lionel, он же Topotam, в июле.
Атака PetitPotam позволяла неаутентифицированным пользователям использовать функцию EfsRpcOpenFileRaw API MS-EFSRPC, чтобы заставить устройство выполнить NTLM-аутентификацию на контролируемых злоумышленником серверах.
Хотя Microsoft исправила часть уязвимости PetitPotam в августе 2021 года, все еще оставались непропатченные векторы, которые позволяли злоумышленникам использовать эту ошибку.
«В мае было выпущено обновление безопасности. Клиенты, применившие обновление или включившие автоматическое обновление, будут защищены. Мы постоянно улучшаем безопасность наших продуктов и рекомендуем клиентам включить автоматические обновления, чтобы обеспечить защиту». — представитель Microsoft.
Рафаэль Джон, которому Microsoft приписывает обнаружение новой уязвимости NTLM Relay, говорит, что он обнаружил, что PetitPotam все еще работает при проведении пентестов в январе и марте.
The story behind CVE-2022-26925 is no advanced reverse engineering, but a lucky accident ;)
During my pentests in January and March i saw that PetitPotam worked against the DCs. 1/2— Raphael (@raphajohnsec) May 11, 2022
Однако, когда он сообщил об этом в Microsoft, они исправили его под новым CVE, а не под первоначальным, присвоенным PetitPotam.
«Я очень четко указал в отчете, что это только PetitPotam и ничего, что я обнаружил или изменил», — сказал Рафаэль Джон в беседе с BleepingComputer.
PetitPotam продолжал работать после исправления Microsoft, потому что Топотам обнаружил обход августовского обновления безопасности и добавил его в свой инструмент в январе 2022 года.
No they didn’t. The mistake they made was to not fully fix the vuln in the first place 🙃. @topotam77 just updated the PoC to match the RPC auth level and type in that time frame (https://t.co/bItINRm7my)
— Charlie Bromberg (Shutdown) (@_nwodtuhs) May 12, 2022
Жиль подтвердил, что в новом обновлении безопасности исправлен вектор PetitPotam ‘EfsRpcOpenFileRaw’, но другие векторы EFS все еще существуют, что позволяет атаке работать.
«Все функции petitpotam, как и другие векторы, по-прежнему работают, кроме efsopenfileraw», — сказал Жиль в интервью.
Поскольку в будущем будут обнаружены новые векторы PetitPotam и другие атаки NTML Relay, Microsoft предлагает администраторам доменов Windows ознакомиться со средствами защиты, описанными в документе поддержки ‘Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)’.
