Rilevamento dell’Attacco di Relay NTLM PetitPotam

[post-views]
Luglio 28, 2021 · 5 min di lettura
Rilevamento dell’Attacco di Relay NTLM PetitPotam

Luglio continua ad essere un mese impegnativo per Microsoft. Dopo il critico PrintNightmare (CVE-2021-1675) e HiveNightmare (CVE-2021-36934), i ricercatori di sicurezza hanno identificato una falla di sicurezza critica che potrebbe portare a una compromissione completa del dominio Windows. Il problema, chiamato PetitPotam, sfrutta il protocollo remoto del sistema di file cifrato (MS-EFSRPC) e consente agli attaccanti di effettuare attacchi NTLM Relay.

Panoramica sull’attacco PetitPotam

Il 23 luglio 2021, Gilles Lionel ha condiviso un exploit proof-of-concept (PoC) per un nuovo foro di sicurezza PetitPotam. Questo problema impatta i servizi certificati di Active Directory di Microsoft (AD CS) utilizzati per assicurare le funzioni del server di infrastruttura a chiave pubblica (PKI). Di conseguenza, lo scenario di attacco PetitPotam può essere sfruttato contro la maggior parte degli ambienti aziendali.

PetitPotam sfrutta il protocollo remoto del sistema di file cifrato (MS-EFSRPC) per avviare il processo di autenticazione all’interno delle istanze Windows remote e costringerle a rivelare gli hash NTLM all’avversario, spiega l’Internet Storm Center del SANS Institute spiega. In particolare, l’attaccante abusa di LSARPC e costringe qualsiasi server mirato, incluso il controller di dominio (DC), a connettersi al server arbitrario malevolo e procedere con l’autenticazione NTLM. Di conseguenza, l’avversario ottiene un certificato di autenticazione applicabile per accedere a qualsiasi servizio di dominio, incluso il DC.

Nonostante l’attacco PetitPotam sia devastante nelle sue conseguenze e facile da lanciare, ci sono alcune limitazioni per gli avversari. Secondo le scoperte dei ricercatori, gli attori delle minacce devono ottenere privilegi di SISTEMA/AMMINISTRATORE o mantenere un’infrastruttura malevola coperta all’interno della LAN per trasferire le credenziali rubate al DC o ad altre istanze interne. Tuttavia, la presenza di HiveNightmare e PrintNightmare rende la parte di escalation dell’attacco un compito facile.

Rilevamento e mitigazione dell’attacco PetitPotam

Secondo i ricercatori, la maggior parte delle versioni supportate di Windows sono suscettibili al PetitPotam. Attualmente, la tecnica è stata sfruttata con successo contro Windows 10, Windows Server 2016 e Windows Server 2019.

Per aiutare i professionisti della sicurezza a resistere al possibile attacco PetitPotam, Microsoft ha rilasciato un dedicato Avviso di sicurezza annunciando la funzione di protezione estesa per l’autenticazione. Per proteggere l’infrastruttura di un’azienda e garantire la mitigazione del PetitPotam, è raccomandato che i servizi che consentono l’autenticazione NTLM utilizzino la firma SMB o la protezione dell’autenticazione estesa. Questo permette ai server con AD CS (Active Directory Certificate Services) di mitigare la vulnerabilità contro possibili attacchi NTLM Relay.

SOC Prime ha rilasciato una regola di caccia che consente di rilevare possibili sfruttamenti dell’attacco PetitPotam.

Possibile sfruttamento dell’attacco PetitPotam [MS-EFSRPC/ADCS-PKI] (via audit)

Per rilevare possibili attacchi contro un ambiente, la regola cerca eventi con richiesta TGT (codice evento 4768), in particolare la sezione delle informazioni sul certificato contenente dati sul Nome del Certificatore, Numero Seriale e Impronta.

La regola di caccia è disponibile per le seguenti piattaforme SIEM e di analisi della sicurezza:

Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Apache Kafka ksqlDB, Securonix

Questa regola è mappata alla metodologia MITRE ATT&CK rivolta alle tattiche di accesso alle credenziali e alla tecnica di autenticazione forzata (t1187), e alla sub-tecnica avvelenamento LLMNR/NBT-NS e SMB Relay (t1557.001).

Aggiornamenti dal 3 settembre 2021:

Gli utenti del Threat Detection Marketplace possono ora fare riferimento a due ulteriori regole mirate al rilevamento dell’attacco PetitPotam.

Richiesta sospetta di TGT Kerberos PetitPotam

Questa regola scritta da Mauricio Velazco, Michael Haag rileva richieste sospette di TGT Kerberos. Una volta che un attaccante ottiene un certificato del computer abusando dei Servizi di Certificati Active Directory in combinazione con PetitPotam, il passo successivo sarebbe sfruttare il certificato per scopi malevoli. Un modo per farlo è richiedere un Kerberos Ticket Granting Ticket utilizzando uno strumento come Rubeus. Questa richiesta genererà un evento 4768 con alcuni campi insoliti a seconda dell’ambiente.

La regola ha traduzioni per le seguenti piattaforme:

Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA Netwitness, Apache Kafka ksqlDB, Securonix

La regola è mappata al framework MITRE ATT&CK rivolta alle tattiche di accesso alle credenziali e alla tecnica di autenticazione forzata (t1187).

Possibile tentativo di autenticazione forzata PetitPotam

Questa regola, anch’essa sviluppata da Mauricio Velazco, Michael Haag, rileva attività di autenticazione forzata PetitPotam.

Il rilevamento è disponibile per le seguenti piattaforme:

Azure Sentinel, ELK Stack, Splunk, Chronicle Security, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA Netwitness, Apache Kafka ksqlDB, Securonix

La regola è mappata al framework MITRE ATT&CK rivolta alle tattiche di accesso alle credenziali e alla tecnica di autenticazione forzata (t1187).

Per favore consulta qui per controllare l’elenco completo delle rilevazioni relative all’attacco PetitPotam.

Esplora Threat Detection Marketplace per accedere a oltre 100.000 regole di rilevamento qualificate, cross-vendor e cross-tool su misura per più di 20 tecnologie leader di mercato SIEM, EDR, NTDR e XDR. Inoltre, puoi contribuire alla comunità mondiale del cyberspazio tramite il programma di premi per le minacce di SOC Prime pubblicando i tuoi contenuti di rilevamento sulla piattaforma Detection as Code e ottenere ricompense per i tuoi contributi.

Vai alla piattaforma Unisciti a Threat Bounty

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Blog, Ultime Minacce — 4 min di lettura
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Veronika Telychko
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Blog, Ultime Minacce — 5 min di lettura
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Veronika Telychko