Detección de Ataque de Relevo NTLM PetitPotam

[post-views]
julio 28, 2021 · 5 min de lectura
Detección de Ataque de Relevo NTLM PetitPotam

Julio sigue siendo un mes de arduo trabajo para Microsoft. Después de las críticas PrintNightmare (CVE-2021-1675) y HiveNightmare (CVE-2021-36934), los investigadores de seguridad han identificado una brecha de seguridad crítica que podría resultar en la total comprometida de un dominio de Windows. El problema, apodado PetitPotam, aprovecha el Protocolo Remoto del Sistema de Archivos de Cifrado (MS-EFSRPC) y permite a los atacantes proceder con ataques de Relay NTLM.

Visión General del Ataque PetitPotam

El 23 de julio de 2021, Gilles Lionel compartió un exploit de prueba de concepto (PoC) para un nuevo agujero de seguridad de PetitPotam. Este problema impacta los Servicios de Certificados de Active Directory de Microsoft (AD CS) utilizados para asegurar las funciones del servidor de infraestructura de clave pública (PKI). Por consiguiente, el escenario de ataque PetitPotam puede ser aprovechado contra la mayoría de los ambientes empresariales.

PetitPotam explota el Protocolo Remoto del Sistema de Archivos de Cifrado (MS-EFSRPC) para iniciar el proceso de autenticación dentro de instancias remotas de Windows y obligarlas a revelar los hashes NTLM al adversario, explica el Centro de Tormentas en Internet del Instituto SANS explica. Particularmente, el atacante hace un uso indebido de LSARPC y obliga a cualquier servidor objetivo, incluido el controlador de dominio (DC), a conectarse al servidor arbitrario malicioso y proceder con la autenticación NTLM. Como resultado, el adversario obtiene un certificado de autenticación aplicable para acceder a cualquier servicio de dominio, incluido el DC.

A pesar de que el ataque PetitPotam es devastador en sus consecuencias y fácil de lanzar, existen algunas limitaciones para los adversarios. Según los hallazgos de los investigadores, los actores de amenazas necesitan obtener privilegios de SISTEMA/ADMIN o mantener una infraestructura maliciosa encubierta dentro de la LAN para transferir las credenciales robadas de vuelta al DC u otras instancias internas. Sin embargo, la presencia de HiveNightmare y PrintNightmare hace que la parte de escalada del ataque sea una tarea fácil.

Detección y Mitigación del Ataque PetitPotam

Según los investigadores, la mayoría de las versiones de Windows compatibles son susceptibles a PetitPotam. Actualmente, la técnica se ha aprovechado con éxito contra Windows 10, Windows Server 2016 y Windows Server 2019.

Para ayudar a los profesionales de la seguridad a resistir el posible ataque PetitPotam, Microsoft ha lanzado un Aviso de Seguridad anunciando la función de Protección Extendida para Autenticación. Para asegurar la infraestructura de una empresa y garantizar la mitigación de PetitPotam, se recomienda que los servicios que permitan la autenticación NTLM aprovechen la firma SMB o la protección de Protección Extendida para Autenticación. Esto permite a los servidores con AD CS (Servicios de Certificado de Active Directory) mitigar la vulnerabilidad contra posibles ataques de Relay NTLM.

SOC Prime ha lanzado una regla de búsqueda que permite detectar la posible explotación del ataque PetitPotam.

Posible Explotación del Ataque PetitPotam [MS-EFSRPC/ADCS-PKI] (via auditoría)

Para detectar posibles ataques contra un entorno, la regla busca eventos con solicitud TGT (Código de Evento 4768), específicamente la sección de Información de Certificado que contiene datos sobre el Nombre del Emisor del Certificado, Número de Serie y Huella Digital.

La regla de búsqueda está disponible para las siguientes plataformas de SIEM y Analítica de Seguridad:

Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Apache Kafka ksqlDB, Securonix

Esta regla está mapeada a la metodología de MITRE ATT&CK abordando las tácticas de Acceso a Credenciales y la técnica de Autenticación Forzada (t1187), y la sub-técnica de Envenenamiento LLMNR/NBT-NS y Relay SMB (t1557.001).

Actualizaciones del 3 de septiembre de 2021:

Los usuarios del Threat Detection Marketplace ahora pueden referirse a dos reglas más destinadas a la detección del ataque PetitPotam.

Solicitud TGT Sospechosa de Kerberos por PetitPotam

Esta regla escrita por Mauricio Velazco, Michael Haag detecta solicitudes TGT sospechosas de Kerberos. Una vez que un atacante obtiene un certificado de computadora abusando de los Servicios de Certificado de Active Directory en combinación con PetitPotam, el siguiente paso sería aprovechar el certificado con fines maliciosos. Una forma de hacer esto es solicitar un Ticket de Concesión de Tickets de Kerberos utilizando una herramienta como Rubeus. Esta solicitud generará un evento 4768 con algunos campos inusuales dependiendo del entorno.

La regla tiene traducciones para las siguientes plataformas:

Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA Netwitness, Apache Kafka ksqlDB, Securonix

La regla está mapeada al marco MITRE ATT&CK abordando las tácticas de Acceso a Credenciales y la técnica de Autenticación Forzada (t1187).

Posible Intento de Coerción de Autenticación por PetitPotam

Esta regla, también desarrollada por Mauricio Velazco, Michael Haag, detecta actividad de autenticación forzada por PetitPotam.

La detección está disponible para las siguientes plataformas:

Azure Sentinel, ELK Stack, Splunk, Chronicle Security, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA Netwitness, Apache Kafka ksqlDB, Securonix

La regla está mapeada al marco MITRE ATT&CK abordando las tácticas de Acceso a Credenciales y la técnica de Autenticación Forzada (t1187).

Por favor refiérase aquí para comprobar la lista completa de detecciones relacionadas con el ataque PetitPotam.

Explore Threat Detection Marketplace para acceder a más de 100K reglas de detección cualificadas, de múltiples proveedores y herramientas cruzadas, adaptadas a más de 20 tecnologías líderes en el mercado de SIEM, EDR, NTDR y XDR. Además, puede contribuir a la comunidad cibernética mundial a través del Programa Threat Bounty de SOC Prime publicando su propio contenido de detección en la plataforma Detection as Code y ser recompensado por sus contribuciones.

Ir a la Plataforma Unirse a Threat Bounty

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Blog, Últimas Amenazas — 4 min de lectura
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Veronika Telychko
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Blog, Últimas Amenazas — 5 min de lectura
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Veronika Telychko