Une nouvelle faille de sécurité, baptisé "PetitPotam", a été découverte dans le système d'exploitation Windows. Elle peut être exploitée pour forcer des serveurs Windows distants, y compris des contrôleurs de domaine, à s'authentifier auprès d'une destination malveillante, permettant ainsi à un adversaire d'organiser une attaque de relais NTLM et de prendre le contrôle complet d'un domaine Windows.

La faille fonctionne en forçant "les hôtes Windows à s'authentifier auprès d'autres machines via la fonction MS-EFSRPC EfsRpcOpenFileRaw" a déclaré le chercheur en sécurité Gilles Lionel.

MS-EFSRPC est le protocole de système de fichiers cryptés à distance de Microsoft, utilisé pour effectuer des "opérations de maintenance et de gestion sur des données cryptées stockées à distance et accessibles sur un réseau".

Plus précisément, l'attaque permet à un contrôleur de domaine de s'authentifier contre un NTLM distant sous contrôle d'un acteur malveillant via l’utilisation de l'interface MS-EFSRPC, et de partager ses informations d'authentification. Cela se fait en se connectant à LSARPC, donnant ainsi lieu à un scénario où le serveur cible se connecte à un serveur arbitraire et effectue une authentification NTLM.

"Un attaquant peut cibler un contrôleur de domaine pour envoyer ses informations d'identification en utilisant le protocole MS-EFSRPC, puis relayer les informations d'identification NTLM du DC vers les pages d'inscription Web AD CS des services de certification Active Directory pour inscrire un certificat DC", a déclaré Hasain Alshakarti de TRUESEC. "Cela donnera effectivement à l'attaquant un certificat d'authentification qui peut être utilisé pour accéder aux services du domaine en tant que DC et compromettre l'ensemble du domaine.

Microsoft note aussi que "PetitPotam profite des serveurs où les services de certification Active Directory (AD CS) ne sont pas configurés avec des protections contre les attaques par relais NTLM."

Pour se protéger contre cette ligne d'attaque, Windows recommande aux clients de désactiver l'authentification NTLM sur le contrôleur de domaine. Dans le cas où NTLM ne peut pas être désactivé pour des raisons de compatibilité, la société conseille vivement aux utilisateurs de suivre l'une des deux étapes suivantes

• Désactiver NTLM sur tous les serveurs AD CS du domaine en utilisant la stratégie de groupe Sécurité du réseau: Restriction de NTLM : trafic NTLM entrant.
• Désactiver NTLM pour Internet Information Services (IIS) sur les serveurs AD CS du domaine qui exécutent les services "Certificate Authority Web Enrollment" ou "Certificate Enrollment Web Service".

PetitPotam est le troisième problème de sécurité majeur de Windows divulgué au cours de ce mois, après les vulnérabilités PrintNightmare et SeriousSAM (alias HiveNightmare).