PetitPotam : Une faille permet le vol d’identifiants sur les serveurs Windows



PetitPotam : Une faille permet le vol d’identifiants sur les serveurs Windows

Dans un avis, Microsoft explique comment atténuer l’impact de cette attaque par relais NTLM, connue sous le nom de PetitPotam.

Microsoft a publié un avis et des instructions détaillées sur la manière de protéger les contrôleurs de domaine Windows et d’autres serveurs Windows contre l’attaque par relais NTLM connue sous le nom de PetitPotam (un nom qui rappelera surement des souvenirs à certains.)


L’attaque PetitPotam a été découverte la semaine dernière par le chercheur en sécurité français Gilles « Topotam » Lionel, comme l’a rapporté The Record. L’outil que le chercheur a publié peut « contraindre les hôtes Windows à s’authentifier auprès d’autres machines via la fonction MS-EFSRPC EfsRpcOpenFileRaw », explique-t-il.


En d’autres termes, l’attaque peut faire en sorte qu’un serveur Windows distant s’authentifie auprès d’un attaquant et partage les identifiants et les certificats Microsoft NTLM.


Microsoft note que PetitPotam « est une attaque classique de relais NTLM ». Ce type d’attaque est décrit dans un avis de sécurité de 2009, et « peut potentiellement être utilisée dans une attaque sur des contrôleurs de domaine Windows ou d’autres serveurs Windows. »


Il indique que les clients peuvent être vulnérables à PetitPotam si l’authentification NTLM est activée sur un domaine et que les services de certification Active Directory (AD CS) sont utilisés avec un service web d’inscription de certificats pour le renouvellement (Certificate Authority Web Enrollment ou Certificate Enrollment Web Service)


Pour empêcher les attaques par relais NTLM qui remplissent ces conditions, Microsoft conseille aux administrateurs de domaine de s’assurer que les services qui autorisent l’authentification NTLM doivent « utiliser des protections telles que Extended Protection for Authentication (EPA) ou des fonctions de signature telles que la signature SMB. »


« PetitPotam tire parti des serveurs où les services de certification Active Directory (AD CS) ne sont pas configurés avec des protections contre les attaques par relais NTLM », note Microsoft dans ADV210003.


Microsoft a fourni des instructions plus détaillées dans un article séparé, KB5005413. La « mesure d’atténuation préférée » de Microsoft consiste à désactiver l’authentification NTLM sur un contrôleur de domaine Windows.


Mais l’article contient également des instructions détaillées pour des mesures d’atténuation alternatives s’il n’est pas possible de désactiver l’authentification NTLM sur un domaine. « Elles sont classées par ordre de sécurité, de la plus sûre à la moins sûre ».






Pour plus d’information : https://www.zdnet.fr/actualites/petitpotam-une-faille-permet-le-vol-d-identifiants-sur-les-serveurs-windows-39926719.htm

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Catégories :

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité