NTLM es el veterano de los protocolos de autenticación. Se sabe que es inseguro, por lo que existen mejores opciones en el mercado para reemplazarlo. Sin embargo, deshacerse de él puede ser difícil y, a veces, imposible.
Una nueva vulnerabilidad de seguridad: PetitPotam fue descubierto recientemente; usa el protocolo de autenticación remota de NTLM, llamado EFSRPC. Esta vulnerabilidad eventualmente permite a los atacantes realizar un ataque de retransmisión NTLM y apoderarse por completo de un dominio de Windows. Esta vulnerabilidad enfatiza una vez más la urgente necesidad de dejar de utilizar los servicios antiguos por ser vulnerables. Dado que es una tarea compleja, la necesidad de herramientas de automatización de hardening nunca ha sido mayor.
Protocolo de Cifrado del Sistema de Archivos Remoto (EFSRPC):
NTLM utiliza EFSRPC cuando se requiere autenticación remota. Este protocolo también se utiliza para la gestión y el mantenimiento de datos cifrados almacenados en un servidor remoto, como Controladores de Dominio y servidores de Autoridad de Certificación. Acceder a este tipo de servidores y obtener acceso a estos datos permitirá a un atacante obtener fácilmente el control de un dominio.
MECANISMO DE ATAQUE DE PETITPOTAM:
Un atacante solicita conectarse con un Controlador de Dominio a través de EFSPRC y lo obliga a usar NTLM (en lugar de Kerberos o mecanismos de autenticación más seguros).
Una vez que se realiza la autenticación mediante NTLM, el atacante realiza una retransmisión NTLM clásica para obtener el hash de la contraseña.
El ataque generalmente tiene como objetivo los servidores IIS instalados en el Controlador de Dominio y se utilizan para la inscripción web del certificado del servicio. Una vez que el atacante tiene las credenciales de dominio, viola la inscripción web, obtiene el certificado y obtiene el control del dominio.
COMO MITIGAR PETITPOTAM:
Su primera opción (si es posible) debería ser dejar de usar NTLM. Debe tener en cuenta que deshabilitar NTLM puede tener consecuencias devastadoras en su ambiente de producción y debe hacerse con cuidado. Primero debe prepararse mapeando dónde se está utilizando NTLM y cuál será el impacto de deshabilitarlo. Dado que solo esta tarea requiere un esfuerzo enorme, muchas organizaciones deciden descuidarla y siguen siendo vulnerables. Sugerimos utilizar una herramienta de automatización de hardening para localizar automáticamente donde está habilitado NTLM y generar un informe de análisis de impacto.
Si no puede deshabilitar NTLM por completo, tiene otras dos opciones:
- Habilitar Seguridad de Windows: Restringir el tráfico entrante NTLM: esta configuración le permite controlar dónde se usa NTLM y habilitarlo solo si es necesario. Esto también requerirá que mapee NTLM manualmente y realice un análisis de impacto, o use una herramienta de automatización de refuerzo para ahorrar tiempo y recursos.
- Desactivar NTLM en los servidores IIS instalados en el servidor del servicio de certificados; este método no lo protegerá de los ataques de retransmisión NTLM, pero mitigará PetitPotam, ya que el atacante no podrá acceder al certificado.
Este tipo de ataque enfatiza la necesidad de dejar de usar servicios antiguos y vulnerables como NTLM. Dado que es una tarea compleja para una organización con una gran infraestructura, también enfatiza la necesidad de utilizar herramientas de automatización de hardening.
