Microsoft eilt Fix für ‘PetitPotam’-Attacke PoC

  • Microsoft veröffentlicht Abschwächungen für einen Windows NT LAN Manager Exploit, der entfernte Windows-Systeme dazu zwingt, Passwort-Hashes preiszugeben, die leicht geknackt werden können.

    Microsoft reagierte schnell mit einem Fix für einen Angriff mit dem Namen “PetitPotam”, der entfernte Windows-Systeme dazu zwingen kann, Passwort-Hashes preiszugeben, die dann leicht geknackt werden können. Um einen Angriff zu vereiteln, empfiehlt Microsoft Systemadministratoren, den inzwischen veralteten Windows NT LAN Manager (NTLM) nicht mehr zu verwenden.

    Der Sicherheitsforscher Gilles Lionel identifizierte den Fehler erstmals am Donnerstag und veröffentlichte auch Proof-of-Concept (PoC) Exploit-Code, um den Angriff zu demonstrieren. Am folgenden Tag veröffentlichte Microsoft ein Advisory, das Workaround-Maßnahmen zum Schutz der Systeme enthielt.

    Der PetitPotam-Bug ist mit dem Windows-Betriebssystem und dem Missbrauch eines Fernzugriffsprotokolls namens Encrypting File System Remote Protocol (MS-EFSRPC) verbunden. Das Protokoll wurde entwickelt, um Windows-Systemen den Zugriff auf entfernte, verschlüsselte Datenspeicher zu ermöglichen, was die Verwaltung der Daten bei gleichzeitiger Durchsetzung von Zugriffskontrollrichtlinien erlaubt.

    Der PetitPotam PoC ist eine Form des Manipulator-in-the-Middle (MitM)-Angriffs gegen das NTLM-Authentifizierungssystem von Microsoft. Als nächstes verwendet ein Angreifer das File-Sharing-Protokoll Server Message Block (SMB), um Zugriff auf die MS-EFSRPC-Schnittstelle eines entfernten Systems anzufordern. Laut Lionel zwingt dies den anvisierten Computer dazu, eine Authentifizierungsprozedur einzuleiten und seine Authentifizierungsdetails über NTLM zu teilen.

    NTLM: Persona Non Grata-Protokoll

    Da das NTLM-Protokoll ein unzureichendes Authentifizierungsprotokoll ist, das dennoch zur Weitergabe von Authentifizierungsdaten verwendet wird, können gehashte Kennwörter von einem Angreifer abgeschöpft und später mit minimalem Aufwand offline geknackt werden. NTLM hat eine lange Liste von Kritikpunkten, die bis ins Jahr 2010 zurückreichen, als es bereits als unzureichendes Authentifizierungsprotokoll angesehen wurde.

    “NTLM ist anfällig für Relay-Angriffe, die es Angreifern ermöglichen, eine Authentifizierung abzufangen und an einen anderen Server weiterzuleiten, was ihnen die Möglichkeit gibt, mit den Rechten des authentifizierten Benutzers Operationen auf dem Remote-Server durchzuführen”, schreiben die Forscher von Preempt in einem Bericht aus dem Jahr 2019.

    Angriffsszenario

    Laut Lionel kann dieses ähnliche Szenario mit einem PetitPotam-Angriff durchgespielt werden. Er demonstrierte, wie ein PetitPotam-Angriff mit einem Exploit verkettet werden kann, der auf die Windows Active Directory Certificate Services (AD CS) abzielt, die Public Key Infrastructure (PKI)-Funktionalität bereitstellen.

    Die Forscher von Truesec schlüsseln es in einem am Sonntag veröffentlichten Blog-Post weiter auf.

    “Ein Angreifer kann einen Domain Controller anvisieren, um seine Anmeldeinformationen zu senden, indem er das MS-EFSRPC-Protokoll verwendet und den DC dann weiterleitet [domain controller] NTLM-Anmeldeinformationen an die Active Directory Certificate Services AD CS Web Enrollment-Seiten weiterleiten, um ein DC-Zertifikat zu registrieren. … Dadurch erhält der Angreifer effektiv ein Authentifizierungszertifikat, mit dem er als DC auf Domänendienste zugreifen und die gesamte Domäne kompromittieren kann.”

    PetitPotam Mitigation Options

    Als Reaktion auf die öffentliche Verfügbarkeit des PoCs hat Microsoft schnell reagiert und mehrere Optionen zur Abschwächung aufgezeigt. Für den Anfang empfiehlt Microsoft, die NTLM-Authentifizierung auf Windows-Domänencontrollern zu deaktivieren. Außerdem wird empfohlen, die Funktion “Erweiterter Schutz für die Authentifizierung” (EPA) für AD CS-Dienste zu aktivieren.

    “Um NTLM-Relay-Attacken in Netzwerken mit aktiviertem NTLM zu verhindern, müssen Domänenadministratoren sicherstellen, dass Dienste, die eine NTLM-Authentifizierung zulassen, Schutzmechanismen wie Extended Protection for Authentication (EPA) oder Signierungsfunktionen wie SMB-Signierung verwenden”, schreibt Microsoft. “PetitPotam nutzt Server aus, bei denen Active Directory Certificate Services (AD CS) nicht mit Schutzmaßnahmen für NTLM-Relay-Attacken konfiguriert ist. Die in KB5005413 beschriebenen Mitigations weisen Kunden an, wie sie ihre AD CS-Server vor solchen Angriffen schützen können.”

    Microsoft fügte außerdem hinzu, dass Unternehmen für einen PetitPotam-Angriff anfällig sind, wenn die NTLM-Authentifizierung in ihren Domänen aktiviert ist und/oder sie AD CS mit den Diensten “Certificate Authority Web Enrollment” und “Certificate Enrollment Web Service” verwenden.

    Sehen Sie sich unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com