So schützen Sie Ihr Netzwerk vor dem PetitPotam-Relay-Angriff

Ein neues Sicherheitsproblem beunruhigt die Administratoren von Unternehmensnetzwerken, nachdem der französische Sicherheitsforscher Gilles Lionel einen neuen NTLM-Relay-Angriff aufgedeckt hat, der es Hackern ermöglicht, den Domain Controller oder andere Windows-Server zu übernehmen.

Der Angriff mit dem Namen PetitPotam wurde vor ein paar Tagen veröffentlicht und erlaubt mit Proof of Concept Code.

Der Exploit nutzt das Microsoft Encrypting File System Remote Protocol (EFSRPC), um ein Gerät, einschließlich Domänencontrollern, dazu zu zwingen, sich bei einem bösartigen Remote-NTLM-Relay zu authentifizieren, das dann verwendet werden kann, um Hash und Zertifikate zu stehlen und die Identität des eigentlichen Geräts und dessen Berechtigungen anzunehmen.

Microsoft zeigt sich jedoch nicht übermäßig alarmiert:

Microsoft weiß von PetitPotam, das potenziell für einen Angriff auf Windows-Domänencontroller oder andere Windows-Server verwendet werden kann. PetitPotam ist ein klassischer NTLM-Relay-Angriff, und solche Angriffe wurden von Microsoft bereits früher dokumentiert, zusammen mit zahlreichen Mitigationsoptionen zum Schutz der Kunden. Siehe zum Beispiel Microsoft Security Advisory 974926.

Um NTLM-Relay-Angriffe in Netzwerken mit aktiviertem NTLM zu verhindern, müssen Domänenadministratoren sicherstellen, dass Dienste, die eine NTLM-Authentifizierung zulassen, Schutzmaßnahmen wie Extended Protection for Authentication (EPA) oder Signierungsfunktionen wie SMB-Signierung verwenden. PetitPotam macht sich Server zunutze, bei denen Active Directory Certificate Services (AD CS) nicht mit Schutzmaßnahmen für NTLM-Relay-Angriffe konfiguriert ist. Die in KB5005413 beschriebenen Abhilfemaßnahmen leiten Kunden an, wie sie ihre AD CS-Server vor solchen Angriffen schützen können.

Sie sind potenziell für diesen Angriff anfällig, wenn die NTLM-Authentifizierung in Ihrer Domäne aktiviert ist und Sie Active Directory Certificate Services (AD CS) mit einem der folgenden Dienste verwenden:

  • Certificate Authority Web Enrollment
  • Zertifikatsregistrierungs-Webdienst

Die einfache Lösung besteht daher darin, NTLM dort zu deaktivieren, wo es nicht notwendig ist, z. B. bei Domänencontrollern, oder den erweiterten Schutz für die Authentifizierung zu aktivieren oder die NTLM-Authentifizierung zu aktivieren, um Signierfunktionen wie SMB-Signierung zu verwenden.

Wie PrintNightmare ist dies möglicherweise nur das erste Kapitel in der PetitPotam-Saga, da Gilles Lionel gegenüber BleepingComputer erklärte, dass PetitPotam weitere Angriffe ermöglicht, wie z. B. einen Downgrade-Angriff auf NTLMv1, der den Data Encryption Standard (DES) verwendet - einen unsicheren Algorithmus aufgrund seiner kurzen, 56-Bit-Schlüsselgenerierung, der es leicht macht, einen Passwort-Hash wiederherzustellen, was einen lokalen Angriff zur Privilegienerweiterung ermöglicht.

Microsoft hat sich auch nicht mit dem EFSRPC-Protokoll befasst, das bei dem Angriff verwendet wurde.