Detecção de Ataque PetitPotam NTLM Relay
Índice:
Julho continua a ser um mês trabalhoso para a Microsoft. Após as críticas PrintNightmare (CVE-2021-1675) e HiveNightmare (CVE-2021-36934) vulnerabilidades, pesquisadores de segurança identificaram uma lacuna crítica de segurança que pode resultar em um comprometimento completo do domínio do Windows. O problema, apelidado de PetitPotam, aproveita-se do Protocolo Remoto do Sistema de Arquivos Criptografados (MS-EFSRPC) e permite que os atacantes prossigam com os ataques de NTLM Relay.
Visão Geral do Ataque PetitPotam
Em 23 de julho de 2021, Gilles Lionel compartilhou um exploit prova de conceito (PoC) para uma nova brecha de segurança PetitPotam. Este problema afeta os Serviços de Certificado do Active Directory da Microsoft (AD CS) usados para garantir funções de servidor de infraestrutura de chave pública (PKI). Consequentemente, o cenário de ataque PetitPotam pode ser aproveitado contra a maioria dos ambientes empresariais.
PetitPotam explora o Protocolo Remoto do Sistema de Arquivos Criptografados (MS-EFSRPC) para iniciar o processo de autenticação dentro de instâncias remotas do Windows e forçá-las a revelar os hashes NTLM ao adversário, o Instituto SANS do Internet Storm Center explica. Particularmente, o atacante abusa do LSARPC e força qualquer servidor alvo, incluindo o controlador de domínio (DC), a conectar-se ao servidor arbitrário malicioso e prosseguir com a autenticação NTLM. Como resultado, o adversário obtém um certificado de autenticação aplicável para acessar quaisquer serviços de domínio, incluindo o DC.
Apesar do ataque PetitPotam ser devastador em suas consequências e fácil de lançar, existem algumas limitações para os adversários. De acordo com os achados dos pesquisadores, os atores da ameaça precisam obter privilégios de SISTEMA/ADMIN ou manter uma infraestrutura maliciosa encoberta dentro da LAN para transferir as credenciais roubadas de volta para o DC ou outras instâncias internas. No entanto, a presença do HiveNightmare e do PrintNightmare torna a parte de escalada do ataque uma tarefa fácil.
Detecção e Mitigação do Ataque PetitPotam
De acordo com os pesquisadores, a maioria das versões suportadas do Windows são suscetíveis ao PetitPotam. Atualmente, a técnica foi usada com sucesso contra o Windows 10, Windows Server 2016 e Windows Server 2019.
Para ajudar os profissionais de segurança a resistir ao possível ataque PetitPotam, a Microsoft lançou um Aviso de Segurança anunciando o recurso de Proteção Ampliada para Autenticação. Para proteger a infraestrutura de uma empresa e garantir a mitigação do PetitPotam, recomenda-se que serviços que permitem autenticação NTLM utilizem assinatura SMB ou proteção de Proteção Ampliada para Autenticação. Isso permite que servidores com AD CS (Serviços de Certificado do Active Directory) mitiguem a vulnerabilidade contra possíveis ataques de NTLM Relay.
SOC Prime lançou uma regra de caça que permite detectar possíveis explorações do ataque PetitPotam.
Possível Exploração de Ataque PetitPotam [MS-EFSRPC/ADCS-PKI] (via auditoria)
Para detectar possíveis ataques contra um ambiente, a regra procura eventos com solicitação de TGT (Código de Evento 4768), nomeadamente a seção de Informação do Certificado contendo dados sobre Nome do Emissor do Certificado, Número de Série e Impressão Digital.
A regra de caça está disponível para as seguintes plataformas de SIEM e de Análise de Segurança:
Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Apache Kafka ksqlDB, Securonix
Esta regra está mapeada para a metodologia MITRE ATT&CK abordando as táticas de Acesso a Credenciais e a técnica de Autenticação Forçada (t1187), e a sub-técnica de Envenenamento LLMNR/NBT-NS e Relé SMB (t1557.001).
Atualizações de 3 de setembro de 2021:
Os usuários do Threat Detection Marketplace agora podem consultar mais duas regras voltadas para a detecção de ataques PetitPotam.
Solicitação Suspeita de TGT Kerberos do PetitPotam
Esta regra escrita por Mauricio Velazco e Michael Haag detecta solicitações suspeitas de TGT Kerberos. Uma vez que um atacante obtém um certificado de computador abusando dos Serviços de Certificado do Active Directory em combinação com PetitPotam, o próximo passo seria usar o certificado para fins maliciosos. Uma maneira de fazer isso é solicitar um Ticket de Concessão de Ticket Kerberos usando uma ferramenta como Rubeus. Esta solicitação gerará um evento 4768 com alguns campos incomuns dependendo do ambiente.
A regra possui traduções para as seguintes plataformas:
Azure Sentinel, ELK Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA Netwitness, Apache Kafka ksqlDB, Securonix
A regra está mapeada para a estrutura MITRE ATT&CK abordando as táticas de Acesso a Credenciais e técnica de Autenticação Forçada (t1187).
Tentativa de Autenticação Coercida do PetitPotam Possível
Esta regra, também desenvolvida por Mauricio Velazco e Michael Haag, detecta atividade coercitiva de autenticação do PetitPotam.
A detecção está disponível para as seguintes plataformas:
Azure Sentinel, ELK Stack, Splunk, Chronicle Security, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA Netwitness, Apache Kafka ksqlDB, Securonix
A regra está mapeada para a estrutura MITRE ATT&CK abordando as táticas de Acesso a Credenciais e técnica de Autenticação Forçada (t1187).
Por favor, consulte aqui para verificar a lista completa de detecções relacionadas ao ataque PetitPotam.
Explore o Threat Detection Marketplace para alcançar mais de 100.000 regras de detecção qualificadas, multi-vendor e multi-ferramentas, adaptadas a mais de 20 tecnologias de SIEM, EDR, NTDR e XDR líderes de mercado. Além disso, você pode contribuir para a comunidade cibernética mundial via o Programa Threat Bounty da SOC Prime publicando seu próprio conteúdo de detecção na plataforma Detection as Code e ser recompensado por suas contribuições.
