af Bhabesh Raj Rai, Associate Security Analytics Engineer

Den 19. juli 2021 offentliggjorde sikkerhedsforsker Lionel Gilles tekniske detaljer og et PoC-værktøj til en sikkerhedsrisiko ved navn PetitPotam. Sikkerhedsrisikoen gør det muligt for en domænebruger at gennemtvinge en domænecontroller til at godkende mod en fjernserver ved hjælp af Microsofts krypteringsfilsystems fjernprotokolgrænseflade (MS-EFSRPC), der afslører sin godkendelses-hash i processen.

Det, der gør fejlen meget farlig, er, at angribere kan forbinde den med en relæsikkerhedsrisiko på Active Directory Certificate Services-serveren (AD CS), hvilket blev opdaget for nylig af Specterops-forskere. Modstandere kan på en effektiv måde videresende den opnåede hash for en enhed til en AD CS-server og på den måde få den pågældende enheds certifikat. Ved hjælp af dette certifikat kan modstandere efterligne den pågældende enhed og effektivt anmode om TGT (ticket-granting-ticket) på deres vegne. Modstandere kan kort og godt kompromittere domænet fuldstændigt via AD CS-serveren uden godkendelse.

Ligesom alle andre relæangreb skal modstandere have deres maskine i samme det LAN-segment eller have forhøjede privilegier i domænet. AD CS-servere, hvor enten Certificate Authority Web Enrollment eller Certificate Enrollment Web Service er aktiveret, er udsatte.

Microsoft har udsendt en vejledning i afhjælpning af PetitPotam, og de klassificerer sikkerhedsrisikoen som et klassisk NTLM-relæangreb. Microsoft anbefaler, at administratorer aktiverer Extended Protection for Authentication (EPA) og deaktiverer HTTP på AD CS-servere. Derudover har Microsoft også skitseret yderligere afhjælpningsmuligheder såsom deaktivering af NTLM-godkendelse, hvor det er muligt, og håndhævelse af SMB-signering. Systemadministratorer skal være opmærksomme på, at deaktivering af MS-EFSRPC ikke mindsker sikkerhedsrisikoen.

Registrering af PetitPotam-angrebskæden i LogPoint

PetitPotam kræver ingen godkendelse, hvilket betyder, at vi kan søge efter anonyme NTLM-login på servere, især domænecontrollere. Vi har fundet ud af, at modstandere, der bruger deres maskine til angrebet, genererer Event ID 4624 med feltet  workstation  angivet til null, som vi kan bruge til at filtrere falske positiver fra.

norm_id=WinServer event_id=4624 user="ANONYMOUS LOGON" package=NTLM

event_id=4624

Vi kan også søge efter PetitPotam-artefakter i hændelseslogs for fildelingsovervågning. Administratorer skal kontrollere, at de har aktiveret detaljeret fildelingsovervågning, for at forespørgslen kan fungere.

norm_id=WinServer event_id=5145 share_name=IPC$ access="ReadData (or ListDirectory) WriteData (or AddFile)" relative_target IN ["lsarpc", "efsrpc", "lsass", "samr", "netlogon"] | chart count() by host, user, source_address, relative_target

event_id=5145

For at hjælpe med korrelationen kan administratorer søge efter certifikatanmodningshændelser, der er genereret af AD CS-serveren, og zoome ind på certifikatanmodninger fra domænecontrollere omkring tidsrammen for PetitPotam-artefakterne. Administratorer skal aktivere overvågning af “udstedelse og administration af certifikatanmodninger” på AD CS-serveren for at generere de tilsvarende logfiler, fordi overvågning er deaktiveret som standard.

norm_id=WinServer label=Certificate label=Request label=Receive | chart count() by host, attributes, requester, message

Issue and manage certificate requests

Endelig vil modstandere hente en TGT fra en domænecontroller ved hjælp af det tidligere indhentede certifikat og cachelagre den pågældende ticket i hukommelsen. For at fange dette er vi nødt til at søge efter TGT-anmodningshændelser, hvor domænecontrolleren er en bruger (eftersom certifikatet tilhører domænecontrolleren), men kildeadressefeltet har IP-adressen for den modstanderstyrede maskine. I daglig brug vil domænecontrollerkontoen altid anmode om en TGT fra egen maskine, og kildeadressefeltet skal derfor altid være maskinens egen IP-adresse.

norm_id=WinServer event_id=4768 user IN WINDOWS_DC_HOSTNAMES -source_address IN WINDOWS_DC

WINDOWS_DC_HOSTNAMES er en liste, der indeholder brugernavnet på alle domænecontrollerkonti, f.eks. DC01, DC02 osv., mens WINDOWS_DC indeholder IP-adresserne for alle domænecontrollere.

WINDOWS_DC_HOSTNAMES

Anvend afhjælpningerne så hurtigt som muligt

Systemadministratorer bør derfor hurtigst muligt følge afhjælpningsmulighederne fra Microsoft, hvis de har installeret AD CS-servere i deres miljø. Hvis administratorer udsætter implementeringen af afhjælpningerne til et senere tidspunkt på grund af forskellige omstændigheder, bør de foretage de nødvendige identifikationer for at opsnappe forsøg på udnyttelse. Eftersom det er muligt at kompromittere et domæne fuldstændigt uden godkendelse, vil fejlen sandsynligvis forføre alle typer trusselsaktører, hvilket Microsoft ikke vil løse.

Kontakt LogPoint

Kontakt os og lær hvorfor markedsledende firmaer vælger LogPoint:

Kontakt LogPoint

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser