Windows – ADCS : comment bloquer les attaques PetitPotam ?

Une nouvelle attaque connue sous le nom de PetitPotam fait parler d'elle ces derniers jours. Cette attaque exploite la méthode de relais NTLM et permet à un attaquant de voler des identifiants Windows, ce qui peut lui permettre de prendre le contrôle d'un domaine Active Directory.

Le mois dernier, le chercheur en sécurité français Lionel GILLES, alias Topotam, a découvert une nouvelle attaque qui cible les machines Windows. Baptisée PetitPotam, cette attaque permet de forcer une machine Windows à s'authentifier sur un serveur malveillant qui joue le rôle de relais NTLM, en s'appuyant sur le protocole Microsoft Encrypting File System Remote (EFSRPC) . Cette attaque fonctionne également sur les contrôleurs de domaine, ce qui la rend particulièrement dangereuse.

Le serveur NTLM relais va rediriger la requête d'authentification et jouer le rôle d'intermédiaire, ce qui lui permet de récupérer des informations d'authentification, et au final de réaliser un dump des identifiants et de prendre le contrôle du domaine Active Directory.

Vous êtes vulnérable à l'attaque PetitPotam si vous utilisez un serveur avec le rôle ADCS (Active Directory Certificate Services), qui permet d'avoir une autorité de certification d'entreprise, avec l'un des deux rôles suivants :

  • Certificate Authority Web Enrollment
  • Certificate Enrollment Web Service

Concrètement, l'attaque PetitPotam tire profit d'un serveur ADCS qui ne serait pas bien configuré pour vous protéger contre les attaques basées sur l'utilisation d'un serveur relais NTLM.

Microsoft a publié sur son site Internet des informations pour vous expliquer comment configurer le serveur IIS de votre serveur ADCS pour vous protéger. La méthode décrite par Microsoft consiste à activer des fonctions pour renforcer l'authentification, notamment l'EPA (Extended Protection for Authentication), et l'obligation d'utiliser des connexions HTTPS.

Plutôt que d'appliquer cette configuration proposée par Microsoft, des chercheurs en sécurité ont trouvé une autre méthode qui consiste à appliquer un filtre au niveau de la machine, via netsh. Le chercheur en sécurité Craig Kirby explique que ce filtre netsh rpc bloque l'accès à distance à l'API MS-EFSRPC.

De son côté, Benjamin Delpy, le créateur de Mimikatz, explique comment mettre en place ce filtre, voici les instructions à appliquer sur votre serveur ADCS.

1 - Créer un fichier nommé "block_efsr.txt" (ou autre) et insérer le contenu suivant :

rpc
filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e
add filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d
add filter
quit

2 - Enregistrer le fichier sur le Bureau de votre session

3 - Importer les règles netsh à partir du fichier créé précédemment :

netsh -f %userprofile%\desktop\block_efsr.txt

4 - Vérifier que les filtres sont bien importés avec la commande suivante :

netsh rpc filter show filter

Concrètement, voici le nom des deux filtres créés : c681d488-d850-11d0-8c52-00c04fd90f7e et df1941c5-fe89-4e79-bf10-463657acf44d. Grâce à eux, le vecteur d'attaque de PetitPotam est bloqué et le serveur relais NTLM malveillant ne pourra plus tromper vos machines.

Pour finir, je tiens à préciser que cette vulnérabilité affecte toutes les versions de Windows Server, y compris lorsque le serveur est installé en mode core.

[Mise à jour du 12 août 2021]

Suite à la publication du Patch Tuesday d'août 2021, Microsoft a intégré un patch de sécurité pour empêcher l'exploitation de la vulnérabilité PetitPotam. Ce correctif est intégré directement au sein du patch cumulatif d'août 2021.

Plus d'informations sur cette page : Microsoft - PetitPotam

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3208 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.