La nouvelle attaque de relais PetitPotam NTLM permet aux pirates informatiques de s’emparer des domaines Windows

Cet avertissement a pour objectif de sensibiliser à une vulnérabilité permettant de perpétrer des attaques par relais NTLM sur les services de certificats Active Directory, dont le code public Proof-of-Concept (PoC) est disponible.

Le but de cette alerte est de sensibiliser les administrateurs de systèmes à cette vulnérabilité et aux risques qu’elle implique, afin qu’ils puissent agir en conséquence.

Si ce n’est pas déjà fait, le CCB / CyTRIS (Cyber Threat Research & Intelligence Sharing) recommande aux administrateurs de systèmes d’appliquer au plus vite les mesures de gestion des risques disponibles sur leurs systèmes vulnérables, et d’analyser les logs de leurs systèmes et de leurs réseaux afin de détecter toute activité suspecte.

« PetitPotam » profite des serveurs sur lesquels les services de certification Active Directory (« Active Directory Certificate Services », AD CS) ne sont pas configurés avec des protections contre les attaques par relais NTLM. C’est le chercheur en sécurité Gilles Lionel qui a découvert le problème et qui a partagé les détails techniques et le code proof-of-concept (PoC) la semaine dernière³.

La vulnérabilité fonctionne en forçant les hôtes Windows à s’authentifier sur d’autres machines, via la fonction MS-EFSRPC « EfsRpcOpenFileRaw ».

Les systèmes sont potentiellement vulnérables à cette attaque si l’authentification NTLM est activée sur le domaine et utilise les services de certificats Active Directory (AD CS) avec l’un des services suivants :

• Certificate Authority Web Enrollment
• Certificate Enrollment Web Service

Cette vulnérabilité affecte toutes les versions des serveurs Microsoft Windows, y compris les contrôleurs de domaine.

Le CCB / CyTRIS recommande aux administrateurs de systèmes d’examiner les mesures de gestion des risques décrites dans l’article KB5005413⁴ pour indiquer aux clients comment protéger leurs serveurs AD CS contre de telles attaques. Si l’authentification NTLM n’a pas été désactivée sur le domaine, la meilleure mesure de gestion des risques pour ce problème est de désactiver l’authentification NTLM sur le domaine après avoir vérifié l’article susmentionné.

Pour empêcher les attaques par relais NTLM sur les réseaux où NTLM est activé, les administrateurs de domaine doivent s’assurer que les services qui autorisent l’authentification NTLM utilisent des protections, comme l’Extended Protection for Authentication (EPA) ou des fonctions de signature telles que la signature SMB.

Windows recommande de désactiver l’authentification NTLM sur le contrôleur de domaine. S’il est impossible de désactiver NTLM pour des raisons de compatibilité, suivez l’une des deux étapes ci-dessous :

• Désactivez NTLM sur tous les serveurs AD CS de votre domaine en utilisant la stratégie de groupe : Network security > Restrict NTLM⁵ > Incoming NTLM traffic.
• Désactivez NTLM pour les « Internet Information Services » (IIS) sur les serveurs AD CS du domaine qui exécutent les services « Certificate Authority Web Enrollment » ou « Certificate Enrollment Web Service ».