[25/09/2021] Microsoft Active Directory (AD), que se encarga de la gestión de identidades, tiene una participación de mercado del 90% al 95% entre las empresas de la lista Fortune 500. Dada su adopción tan amplia, no es de extrañar que sea un objetivo tan importante tanto de investigadores como de actores malintencionados. Entre los tipos de ataques más citados contra AD, se encuentran los protocolos legacy. Uno de estos protocolos, que recibe mucha atención de los atacantes, es NT LAN Manager (NTLM).
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
NTLM existe desde hace más de 20 años. Se utiliza para la autenticación en los primeros sistemas de Windows, hasta Windows 2000. Utiliza un mecanismo de desafío-respuesta para autenticar a los clientes. Si bien muchas organizaciones se han cambiado a Kerberos, muchos sistemas y aplicaciones legacy aún soportan o usan NTLM. También se utiliza en escenarios en los que necesita unirse a un grupo de trabajo, autenticación de inicio de sesión local en controladores que no son de dominio o, en algunos casos, para aplicaciones que no son de Microsoft.
Definición de ataque de retransmisión NTLM
Un ataque de retransmisión NTLM aprovecha el mecanismo de desafío-respuesta de NTLM. Un atacante intercepta las solicitudes de autenticación legítimas y luego las reenvía al servidor. El cliente que envió originalmente la solicitud recibe los desafíos apropiados, pero el atacante intercepta las respuestas y las reenvía al servidor, que luego autentica al atacante en lugar de a la persona o dispositivo que realizó la solicitud.
Si bien los ataques de retransmisión NTLM están lejos de ser nuevos, los investigadores y los actores maliciosos continúan encontrando formas novedosas de explotar este protocolo de autenticación. El reciente ataque de PetitPotam es un buen ejemplo.
Por qué PetitPotam es diferente
PetitPotam fue revelado por el investigador de seguridad Gilles Lionel, quien lanzó una prueba de concepto (PoC) del exploit en GitHub. Lo que hace PetitPotam particularmente preocupante es que permite obligar a los servidores de Windows, incluyendo los controladores de dominio, a autenticarse con un destino malicioso. Esto permite a los adversarios hacerse cargo, potencialmente, de todo un dominio de Windows.
Los ataques de retransmisión NTLM anteriores se centraban en el abuso de la función de la API de impresión MS-RPRN, que forma parte de los ambientes de Microsoft. A medida que esas variaciones del ataque ganaron notoriedad, las organizaciones comenzaron a deshabilitar MS-RPRN para bloquear el vector de ataque. PetitPotam adoptó un nuevo enfoque, utilizando la función EfsRpcOpenFileRaw de la API de Microsoft Encrypting File System Remote Protocol (MS-EFSRPC).
La investigación de seguridad y las organizaciones de proveedores como Rapid7 examinaron la PoC y afirmaron que "este ataque es demasiado fácil”. Permitir que un atacante no autenticado se apodere de un dominio de Windows en AD podría paralizar algunas organizaciones, y es por eso por lo que vale la pena explorar cómo funciona PetitPotam y cómo mitigarlo.
Cómo actúa PetitPotam
Como se menciona en la documentación de Microsoft, EfsRpcOpenFileRaw realiza operaciones de mantenimiento y administración en datos cifrados que se almacenan de forma remota y a los cuales se accede a través de una red. Si bien los intentos anteriores de ataques de retransmisión NTLM tenían como objetivo la API de MS-RPRN, abusar de EfsRpcOpenFileRaw es novedoso en su enfoque.
Tanto las APIs MS-RPRN como MS-EFSRPC están habilitadas de forma predeterminada, lo que probablemente deje vulnerables a muchas organizaciones que no se están fortaleciendo contra estos ataques. En el ejemplo de PetitPotam, el ambiente de la víctima se autentica frente a un NTLM remoto que está controlado por un adversario utilizando el MS-EFSRPF, mencionado anteriormente, y comparte su información de autenticación. Esta información de autenticación incluye contraseñas con hash a través de NTLM.
Si bien exponer contraseñas hash es suficientemente malo, un atacante usa esas contraseñas hash para aumentar su nivel de control. Los atacantes pueden tomar las credenciales recuperadas y pasarlas a una página de inscripción web de Servicios de certificados de Active Directory (AD CS, por sus siglas en inglés) para inscribir un certificado de controlador de dominio (DC, por sus siglas en inglés). Esto permite a los atacantes tener un certificado de autenticación que pueden usar para acceder a los servicios de dominio como DC. Esto pone en riesgo todo el dominio de Windows. Cuando usted tiene grandes ambientes empresariales que utilizan Microsoft AD, y estos tienen su base de usuarios organizada en dominios, se trata de un riesgo enorme con un impacto potencialmente devastador.
Mitigación de los ataques de retransmisión NTLM
Dado el alcance e impacto generalizados de PetitPotam, las organizaciones han brindado consejos de mitigación para aquellos que pueden verse afectados. Esto incluye a Microsoft y a otros como la Cybersecurity and Infrastructure Security Agency (CISA) de Estados Unidos, que ayudó a difundir la guía para mitigar el ataque de retransmisión NTLM de PetitPotam. El consejo de Microsoft para evitar ataques de retransmisión NTLM incluye el uso de protecciones como Extended Protection for Authentication (EPA) y características de firma como la firma SMB, que discutiremos a continuación. Además, Microsoft recomienda a los clientes que deshabiliten por completo la autenticación NTLM en el controlador de dominio.
La guía de Microsoft se emitió en forma de KB5005413: Mitigación de ataques de retransmisión NTLM en Servicios de certificados de Active Directory (AD CS). Microsoft menciona que aquellos que utilizan Certificate Authority Web Enrollment y Certificate Enrollment Web Services son particularmente vulnerables frente a PetitPotam.
Entre las recomendaciones clave para quienes deben usar NTLM está habilitar EPA. Esto habilita la autenticación en modo kernel, que según Microsoft, puede mejorar el rendimiento de la autenticación y evitar problemas de autenticación o, en este caso, vulnerabilidades. Microsoft también recomienda habilitar ExtendedProtectionPolicy una vez que haya habilitado EPA y requiera SSL, que habilitará solo conexiones cifradas con HTTPS.
El consejo de mitigación adicional, proporcionado por Microsoft, es deshabilitar la autenticación NTLM en su controlador de dominio de Windows, deshabilitar NTLM en cualquier servidor AD CS en su dominio a través de la Política de Grupo y deshabilitar NTLM para Internet Information Services (IIS) en cualquier servidor AD CS en su dominio. Estos cambios ayudan a forzar la autenticación para Negotiate:Kerberos.
Los ataques de retransmisión NTLM, especialmente aquellos que pueden apoderarse de dominios, pueden tener un impacto devastador en los ambientes empresariales de Windows que utilizan Active Directory. Esto es aún más cierto en los ambientes de arquitectura moderna que ven la identidad como el nuevo perímetro.
Si bien la migración de NTLM a Kerberos sigue siendo el principal consejo, no siempre es práctico según el ambiente y las aplicaciones y la arquitectura existentes. En los casos en que no sea posible, se recomienda encarecidamente seguir los consejos de los principales investigadores de seguridad, expertos y Microsoft para evitar ser víctima.
Basado en el artículo de Chris Hughes (CSO) y editado por CIO Perú