Microsoft advierte sobre ataques de retransmisión NTLM de robo de credenciales contra controladores de dominio de Windows


Para protegerse del ataque conocido como PetitPotam, Microsoft le aconseja que desactive la autenticación NTLM en su controlador de dominio de Home windows.

cyberattack.jpg

Imagen: iStockphoto / ipopba

Microsoft está alertando sobre una amenaza contra los controladores de dominio de Windows que permitiría a los atacantes capturar credenciales y certificados NTLM (NT LAN Supervisor). En un aviso publicado el viernes pasado, la compañía advirtió sobre un ataque denominado PetitPotam, que podría usarse contra controladores de dominios de Windows y otros servidores de Home windows.

VER: Lista de comprobación: protección de los sistemas Windows 10 (TechRepublic Quality)

Descubierto y probado por un investigador francés llamado Gilles Lionel (conocido en Twitter como @topotam), según el sitio de noticias de tecnología The History, PetitPotam explota un agujero de seguridad en Windows a través del cual un atacante puede obligar a un servidor Windows a compartir detalles de autenticación y certificados NTLM.

Apodado como un clásico ataque de retransmisión NTLM por Microsoft, el proceso funciona abusando de un protocolo de Home windows conocido como MS-EFSRPC, que permite que las computadoras trabajen con datos encriptados en sistemas remotos, dijo The File.

Al enviar solicitudes de bloque de mensajes del servidor (SMB) a la interfaz MS-EFSRPC en un sistema remoto, un atacante puede engañar al servidor de destino para que comparta los detalles de autenticación de las credenciales. Desde allí, el atacante puede desencadenar un ataque de retransmisión NTLM para obtener acceso a otras computadoras en la misma red.

Como se describió anteriormente en un Documento de soporte de Microsoft de 2009, Los ataques de retransmisión NTLM han existido durante varios años. Dichos ataques aprovechan las vulnerabilidades de seguridad en NTLM como método de autenticación. Aunque Microsoft ha estado instando a los clientes a deshacerse de NTLM debido a sus fallas, muchas organizaciones aún confían en él, aunque solo sea para aplicaciones heredadas, lo que ha llevado a la compañía a continuar reparando cada agujero a medida que aparece.

La mayoría de las versiones del servidor Home windows se ven afectadas por esta falla, incluidas 2005, 2008, 2008 R2, 2012, 2012 R2, 2016 y 2019. En un documento de apoyo, Microsoft explicó que su organización es potencialmente susceptible a PetitPotam si la autenticación NTLM está habilitada en su dominio y usa los Servicios de certificados de Energetic Listing (Ad CS) con la inscripción world wide web de la autoridad de certificación o el servicio website de inscripción de certificados. Si encaja en esa categoría, Microsoft ofrece algunas recomendaciones.

La solución preferida es deshabilitar la autenticación NTLM en su dominio de Windows, un proceso que puede implementar siguiendo los pasos descritos en esta página de seguridad de pink de Microsoft.

Si no puede deshabilitar NTLM en su dominio debido a razones de compatibilidad, Microsoft sugiere deshabilitarlo en cualquier servidor Advert CS en su dominio, lo cual puede hacer a través de la política de grupo. Si es necesario, puede agregar excepciones a esta política. Alternativamente, deshabilite NTLM para World wide web Information Solutions (IIS) en los servidores Advert CS de su dominio que ejecutan los servicios de inscripción web de autoridad de certificación o servicio website de inscripción de certificado.

«Para evitar ataques de retransmisión NTLM en redes con NTLM habilitado, los administradores de dominio deben asegurarse de que los servicios que permiten la autenticación NTLM utilicen protecciones como Protección extendida para autenticación (EPA) o características de firma como la firma SMB «, dijo Microsoft.» PetitPotam aprovecha los servidores donde los Servicios de certificados de Lively Directory no están configurados con protecciones para ataques de retransmisión NTLM «.

Ver también





Enlace a la noticia initial