Microsoft ha pubblicato un avviso e istruzioni dettagliate su come proteggere i controller di dominio Windows e altri server Windows dall'attacco di inoltro NTLM noto come PetitPotam.
La versione di PetitPotam dell'attacco NTLM Relay è stata scoperta la scorsa settimana dal ricercatore di sicurezza francese Gilles Lionel, come riportato per la prima volta da The Record. Lo strumento pubblicato da Lionel può “costringere gli host Windows ad autenticarsi su altre macchine tramite la funzione MS-EFSRPC EfsRpcOpenFileRaw”, spiega.
In altre parole, l'attacco può far autenticare un server Windows remoto con un utente malintenzionato e condividere credenziali e certificati di autenticazione Microsoft NTLM.
Microsoft nota che PetitPotam “è un classico attacco di inoltro NTLM” che descrive in un avviso di sicurezza sulla sicurezza del 2009, che dice “può essere potenzialmente utilizzato in un attacco ai controller di dominio Windows o ad altri server Windows”.
Dice che i clienti potrebbero essere vulnerabili a PetitPotam se l'autenticazione NTLM è abilitata su un dominio e Active Directory Certificate Services (AD CS) è in uso con Certificate Authority Web Enrollment o Certificate Enrollment Web Service.
Per prevenire attacchi di inoltro NTLM che soddisfano queste condizioni, Microsoft consiglia agli amministratori di dominio di garantire che i servizi che consentono l'autenticazione NTLM debbano “utilizzare protezioni come la protezione estesa per l'autenticazione (EPA) o funzionalità di firma come la firma SMB”.
“PetitPotam sfrutta i server in cui Active Directory Certificate Services (AD CS) non è configurato con protezioni per gli attacchi di inoltro NTLM”, osserva Microsoft in ADV210003.
Microsoft ha fornito istruzioni di mitigazione più dettagliate in un articolo KB separato, KB5005413. La “mitigazione preferita” di Microsoft è disabilitare l'autenticazione NTLM su un controller di dominio Windows.
Ma ha anche istruzioni dettagliate e grafiche per mitigazioni alternative se non è possibile disabilitare l'autenticazione NTLM su un dominio. “Sono elencati in ordine dal più sicuro al meno sicuro”, osserva.
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione di Surfshark VPN: è economico, ma va bene? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Gestione dati TV di sicurezza CXO Data Center 