Microsoft ha reso noto con un security advisory di essere a conoscenza di un attacco denominato PetitPotam che può essere potenzialmente utilizzato per aggredire i domain controller o altri server Windows.
PetitPotam, ha spiegato l’azienda, è un classico NTLM relay attack, e tali attacchi sono stati precedentemente documentati da Microsoft insieme a numerose opzioni di mitigazione per proteggere i sistemi (ad esempio in quest’altro security advisory).
Per eseguire questo attacco, ha informato inoltre Microsoft, un cyber attacker avrebbe bisogno di avere credenziali di dominio sulla rete.
Per prevenire gli attacchi NTLM relay sui network con NTLM abilitato, è l’indicazione di Microsoft, gli amministratori di dominio devono assicurarsi che i servizi che permettono l’autenticazione NTLM facciano uso di protezioni come Extended Protection for Authentication (EPA) o funzioni di firma come SMB (Server Message Block) signing.
PetitPotam sfrutta i server in cui Active Directory Certificate Services (AD CS) non è configurato con protezioni per gli attacchi NTLM relay.
Le mitigazioni delineate nel documento tecnico KB5005413 di Microsoft offrono le istruzioni su come i clienti possono proteggere i loro server Active Directory Certificate Services (AD CS) da tali attacchi.
Il sistema è potenzialmente vulnerabile a questo attacco se nel dominio è abilitata l’autenticazione NTLM e si usa Active Directory Certificate Services (AD CS) con uno dei servizi seguenti:
- Certificate Authority Web Enrollment
- Certificate Enrollment Web Service
In questo caso, è consigliabile e opportuno eseguire una delle soluzioni che Microsoft descrive nel documenti tecnico indicato.
