Microsoft a réalisé un triplé de vulnérabilité ce mois-ci lorsqu’une autre faille de sécurité a été découverte dans ses systèmes d’exploitation. Et celui-ci n’a même pas besoin d’authentification pour opérer sa magie.

La faille de sécurité peut être exploitée en utilisant le merveilleusement nommé Petit Potam technique. Il s’agit d’abuser de Redmond MS-EFSRPC (Remote Encryption File System Protocol) pour prendre en charge un réseau d’entreprise Windows. Il semble idéal pour les testeurs d’intrusion et les criminels qui se sont installés sur un réseau Windows.

Plus précisément, le chercheur en sécurité Gilles Lionel a découvert qu’il était possible d’utiliser MS-EFSRPC pour forcer un appareil, y compris les contrôleurs de domaine Windows, à s’authentifier avec un relais NTLM contrôlé par un attaquant distant. Le résultat final est un certificat d’authentification qui accorde à l’attaquant l’accès aux services au niveau du contrôleur de domaine, lui permettant de s’emparer de l’intégralité du domaine.

“PetitPotam profite des serveurs”, Microsoft a dit, “où les services de certificats Active Directory (AD CS) ne sont pas configurés avec les protections contre les attaques de relais NTLM.”

Lionel a publié un exploit de preuve de concept, disponible sur le lien ci-dessus, et Microsoft a répondu en enterrant la mauvaise nouvelle dans un consultatif sorti vendredi. Le géant de Windows a décrit PetitPotam comme “une attaque par relais NTLM classique” et a noté que de telles attaques ont un longue, longue histoire.

Ce qui nous fait nous demander : pourquoi le problème persiste-t-il ?

Le favori de Microsoft atténuation est pour les administrateurs de simplement désactiver l’authentification NTLM, bien que cela puisse perturber un certain nombre de services et d’applications qui en dépendent. Une variété d’alternatives sont également proposées, « classées de la plus sûre à la moins sûre ».

Brillant.

L’avis rend la lecture sombre pour les administrateurs système qui se demandent comment brancher ce dernier problème WONTFIX. PetitPotam utilise le Certificate Authority Web Enrollment Service ou Certificate Enrollment Web Service (selon le système) et, basé sur le PoC de Lionel, utilise la fonction MS-EFSRPC EfsRpcOpenFileRaw “pour forcer les hôtes Windows à s’authentifier sur d’autres machines”.

L’analyste du CERT/CC Will Dormann a résumé l’attaque :

Windows Server 2008 et les versions ultérieures sont concernés, conformément à l’avis de Microsoft, et en plus de suggérer aux clients de prendre des mesures d’atténuation NTLM, il ne semble pas y avoir de solution de contournement pour MS-EFSRPC. Nous avons demandé à Microsoft et nous mettrons à jour si cela nous en dit plus que simplement regarder à nouveau l’avis.

“Microsoft ne[t] réparer ça ” tweeté Le gourou de la sécurité informatique Kevin Beaumont, « les attaquants disposent désormais d’un chemin d’accès d’administrateur de domaine prêt à l’emploi pour une utilisation non autorisée dans les environnements Active Directory par défaut ».

Nous laisserons le dernier mot au créateur de Mimikatz, Benjamin Delpy, et attendrons la décision de Microsoft… ®