Novo ataque PetitPotam força servidores Windows a se autenticar com um invasor

Views: 60
0 0
Read Time:2 Minute, 8 Second

Um pesquisador de segurança francês descobriu uma falha de segurança no sistema operacional Windows que pode ser explorada para forçar servidores Windows remotos a se autenticar com um invasor e compartilhar detalhes de autenticação NTLM ou certificados de autenticação.

A edição, descoberta por Gilles Lionel, um pesquisador de segurança francês com sede em Paris, foi apelidada de PetitPotam, e o código de prova de conceito (PoC) foi publicado no início desta semana no GitHub.

De acordo com Lionel, o problema ocorre quando um invasor abusa do MS-EFSRPC, um protocolo que permite que as máquinas Windows executem operações em dados criptografados armazenados em sistemas remotos.

O código PoC de ataque PetitPotam permite que um invasor envie solicitações SMB para a interface MS-EFSRPC de um sistema remoto e force o computador vítima a iniciar um procedimento de autenticação e compartilhar seus detalhes de autenticação.

Os atacantes podem então coletar esses dados e abusar deles como parte de um ataque de retransmissão NTLM para obter acesso a sistemas remotos na mesma rede interna.

Uma questão muito perigosa

PetitPotam não pode ser explorado remotamente pela internet e é um ataque projetado para ser usado dentro de grandes redes corporativas, onde atacantes podem usá-lo para forçar os controladores de domínio a tossir seus hashes de senha NTLM ou certificados de autenticação, o que poderia levar à aquisição completa da rede interna de uma empresa.

Testes realizados por Gilles e vários pesquisadores de segurança mostraram que a desativação do suporte ao MS-EFSRPC não impediu que o ataque funcionasse.

O ataque foi testado contra os sistemas Windows Server 2016 e Windows Server 2019, mas os pesquisadores de segurança acreditam que o PetitPotam afeta a maioria das versões do Windows Server suportadas hoje.

Um porta-voz da Microsoft não retornou um pedido de comentário, mas a empresa publicou mitigações oficiais um dia após a publicação deste artigo.


Em suma, a Microsoft está passando por uma fase difícil, em termos de segurança. Este é o terceiro grande problema de segurança do Windows divulgado no mês passado após as vulnerabilidades PrintNightmare SeriousSAM (HiveNightmare).

“O problema com esse tipo de ataque é que levará uma quantidade considerável de tempo e considerações para desenvolver contramedidas apropriadas”, disse Florian Roth, Chefe de Pesquisa da Nextron Systems, ao The Record.

“Estas são falhas de design que são mais difíceis de corrigir. É muito mais fácil apenas corrigir uma DLL de driver de fonte vulnerável ou biblioteca do Internet Explorer”, acrescentou Roth.

FONTE: THE RECORD

Previous post Spammer inunda o fórum da gangue de ransomware Babuk com GIFs pornô gay
Next post TJ-RS ainda padece com ataque ransomware e polícia avança na investigação

Deixe um comentário