Détection de l’attaque par relais NTLM PetitPotam
Table des matières :
Juillet continue d’être un mois laborieux pour Microsoft. Après les vulnérabilités critiques PrintNightmare (CVE-2021-1675) et HiveNightmare (CVE-2021-36934), les chercheurs en sécurité ont identifié une faille critique qui pourrait entraîner une compromission complète du domaine Windows. Le problème, surnommé PetitPotam, exploite le protocole MS-EFSRPC (Encrypting File System Remote Protocol) et permet aux attaquants de mener des attaques de relais NTLM.
Aperçu de l’attaque PetitPotam
Le 23 juillet 2021, Gilles Lionel a partagé un exploit de preuve de concept (PoC) pour une nouvelle faille de sécurité PetitPotam. Ce problème affecte les Microsoft Active Directory Certificate Services (AD CS) utilisés pour assurer les fonctions de serveur de la structure à clés publiques (PKI). Par conséquent, le scénario d’attaque PetitPotam peut être exploité contre la majorité des environnements d’entreprise.
PetitPotam exploite le protocole MS-EFSRPC (Encrypting File System Remote Protocol) pour initier le processus d’authentification au sein des instances Windows distantes et les forcer à révéler les hachages NTLM à l’adversaire, explique le Internet Storm Center de l’Institut SANS . En particulier, l’attaquant abuse du LSARPC et force tout serveur ciblé, y compris le contrôleur de domaine (DC), à se connecter au serveur arbitraire malveillant et à procéder avec l’authentification NTLM. En conséquence, l’adversaire obtient un certificat d’authentification applicable pour accéder à n’importe quel service de domaine, y compris le DC.. Particularly, the attacker misuses LSARPC and forces any targeted server, including domain controller (DC), to connect the malicious arbitrary server and proceed with the NTLM authentication. As a result, the adversary obtains an authentication certificate applicable to access any domain services, including the DC.
Bien que l’attaque PetitPotam soit dévastatrice dans ses conséquences et facile à lancer, il existe certaines limitations pour les adversaires. Selon les conclusions des chercheurs, les acteurs de la menace doivent obtenir des privilèges SYSTEM/ADMIN ou maintenir une infrastructure malveillante discrète au sein du LAN pour transférer les identifiants volés vers le DC ou d’autres instances internes. Cependant, la présence de HiveNightmare et PrintNightmare rend la partie d’escalade de l’attaque facile.
Détection et mitigation de l’attaque PetitPotam
Selon les chercheurs, la majorité des versions de Windows prises en charge sont susceptibles au PetitPotam. Actuellement, la technique a été exploitée avec succès contre Windows 10, Windows Server 2016 et Windows Server 2019.
Pour aider les praticiens de la sécurité à résister à la possible attaque PetitPotam, Microsoft a publié un avis de sécurité dédié annonçant la fonctionnalité de Protection étendue pour l’authentification. Pour sécuriser l’infrastructure d’une entreprise et assurer la mitigation de PetitPotam, il est recommandé que les services permettant l’authentification NTLM utilisent la signature SMB ou la Protection étendue pour l’authentification. Cela permet aux serveurs avec AD CS (Active Directory Certificate Services) de réduire la vulnérabilité contre les attaques possibles de relais NTLM.
SOC Prime a publié une règle de chasse permettant de détecter une possible exploitation de l’attaque PetitPotam.
Exploitation possible de l’attaque PetitPotam [MS-EFSRPC/ADCS-PKI] (via audit)
Pour détecter de possibles attaques contre un environnement, la règle recherche des événements avec une demande TGT (code d’événement 4768), à savoir la section des informations du certificat contenant des données sur le nom de l’émetteur du certificat, le numéro de série et l’empreinte.
La règle de chasse est disponible pour les plateformes SIEM et Security Analytics suivantes :
Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Grep Regex, Apache Kafka ksqlDB, Securonix
Cette règle est mappée à la méthodologie MITRE ATT&CK abordant les tactiques d’accès aux identifiants et la technique d’authentification forcée (t1187), ainsi que les sous-techniques d’empoisonnement LLMNR/NBT-NS et de relais SMB (t1557.001).
Mises à jour du 3 septembre 2021 :
Les utilisateurs du Threat Detection Marketplace peuvent désormais se référer à deux règles supplémentaires visant la détection de l’attaque PetitPotam.
Demande de TGT Kerberos suspecte PetitPotam
Cette règle écrite par Mauricio Velazco et Michael Haag détecte les demandes de TGT Kerberos suspectes. Une fois qu’un attaquant obtient un certificat informatique en abusant des Active Directory Certificate Services en combinaison avec PetitPotam, l’étape suivante serait de faire usage du certificat à des fins malveillantes. Une façon de le faire est de demander un ticket de concession de ticket Kerberos en utilisant un outil comme Rubeus. Cette demande générera un événement 4768 avec certains champs inhabituels selon l’environnement.
La règle a des traductions pour les plateformes suivantes :
Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Grep Regex, Microsoft PowerShell, RSA Netwitness, Apache Kafka ksqlDB, Securonix
La règle est mappée au cadre MITRE ATT&CK abordant les tactiques d’accès aux identifiants et la technique d’authentification forcée (t1187).
Tentative d’authentification contrainte possible PetitPotam
Cette règle, également développée par Mauricio Velazco et Michael Haag, détecte l’activité d’authentification contrainte PetitPotam.
La détection est disponible pour les plateformes suivantes :
Azure Sentinel, ELK Stack, Splunk, Chronicle Security, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Grep Regex, Microsoft PowerShell, RSA Netwitness, Apache Kafka ksqlDB, Securonix
La règle est mappée au cadre MITRE ATT&CK abordant les tactiques d’accès aux identifiants et la technique d’authentification forcée (t1187).
Veuillez vous référer ici pour consulter la liste complète des détections liées à l’attaque PetitPotam.
Explorez le Threat Detection Marketplace pour accéder à plus de 100 000 règles de détection qualifiées, multi-éditeurs et multi-outils, adaptées aux 20+ technologies SIEM, EDR, NTDR et XDR leaders du marché. Vous pouvez également contribuer à la communauté mondiale de la cybersécurité via le SOC Prime’s Threat Bounty Program en publiant votre propre contenu de détection sur la plate-forme Detection as Code et être récompensé pour vos contributions.
