Um pesquisador de segurança francês descobriu uma falha de segurança no sistema operacional Windows que pode ser explorada para forçar servidores Windows remotos a se autenticar com um invasor e compartilhar detalhes de autenticação NTLM ou certificados de autenticação.
A edição, descoberta por Gilles Lionel, um pesquisador de segurança francês com sede em Paris, foi apelidada de PetitPotam, e o código de prova de conceito (PoC) foi publicado no início desta semana no GitHub.
De acordo com Lionel, o problema ocorre quando um invasor abusa do MS-EFSRPC, um protocolo que permite que as máquinas Windows executem operações em dados criptografados armazenados em sistemas remotos.
O código PoC de ataque PetitPotam permite que um invasor envie solicitações SMB para a interface MS-EFSRPC de um sistema remoto e force o computador vítima a iniciar um procedimento de autenticação e compartilhar seus detalhes de autenticação.
Os atacantes podem então coletar esses dados e abusar deles como parte de um ataque de retransmissão NTLM para obter acesso a sistemas remotos na mesma rede interna.
Uma questão muito perigosa
PetitPotam não pode ser explorado remotamente pela internet e é um ataque projetado para ser usado dentro de grandes redes corporativas, onde atacantes podem usá-lo para forçar os controladores de domínio a tossir seus hashes de senha NTLM ou certificados de autenticação, o que poderia levar à aquisição completa da rede interna de uma empresa.
Testes realizados por Gilles e vários pesquisadores de segurança mostraram que a desativação do suporte ao MS-EFSRPC não impediu que o ataque funcionasse.
O ataque foi testado contra os sistemas Windows Server 2016 e Windows Server 2019, mas os pesquisadores de segurança acreditam que o PetitPotam afeta a maioria das versões do Windows Server suportadas hoje.
Um porta-voz da Microsoft não retornou um pedido de comentário, mas a empresa publicou mitigações oficiais um dia após a publicação deste artigo.
Em suma, a Microsoft está passando por uma fase difícil, em termos de segurança. Este é o terceiro grande problema de segurança do Windows divulgado no mês passado após as vulnerabilidades PrintNightmare e SeriousSAM (HiveNightmare).
“O problema com esse tipo de ataque é que levará uma quantidade considerável de tempo e considerações para desenvolver contramedidas apropriadas”, disse Florian Roth, Chefe de Pesquisa da Nextron Systems, ao The Record.
“Estas são falhas de design que são mais difíceis de corrigir. É muito mais fácil apenas corrigir uma DLL de driver de fonte vulnerável ou biblioteca do Internet Explorer”, acrescentou Roth.
FONTE: THE RECORD