PetitPotam: un attacco a Windows Server senza una reale soluzione

PetitPotam: un attacco a Windows Server senza una reale soluzione

PetitPotam è un nuovo attacco a Windows Server che permette potenzialmente di ottenere il controllo di una rete aziendale. Un problema che Microsoft sembra al momento non essere intenzionata a risolvere definitivamente

di pubblicata il , alle 15:11 nel canale Security
MicrosoftWindows
 

Microsoft sembra avere un problema di sicurezza in Windows Server per cui non esiste attualmente soluzione e, stando ad alcuni commenti dell'azienda, potrebbe non esserci mai. L'attacco PetitPotam usa il protocollo MS-EFSRPC (Encrypted File System Remote Protocol) per prendere il controllo di una rete di dominio e non ha bisogno di autenticazione per farlo, cosa che lo rende estremamente pericoloso.

PetitPotam: un problema spinoso senza una reale soluzione

PetitPotam è un attacco di inoltro NTLM, una tipologia di attacco vecchia e molto nota, e permette a un attaccante di ottenere l'autenticazione per un dispositivo a livello di rete con il potenziale per ottenere le credenziali di controller di dominio della rete. In tale modo un attaccante potrebbe arrivare a ottenere il controllo totale della rete e dei suoi utenti, come evidenziato dall'esperto di sicurezza Benjamin Delpy. Una dimostrazione dell'attacco è stata pubblicata su GitHub. Per effettuare l'attacco è sufficiente avere accesso alla rete aziendale.

L'unico modo per risolvere il problema è quello di disabilitare completamente NTLM. Il problema, però, è che tale protocollo viene utilizzato da applicazioni e servizi e la sua disabilitazione non è quindi sempre un'opzione percorribile. Microsoft suggerisce dei modi per mitigare la vulnerabilità, come l'uso di EPA (extended protection authentication) o delle firme su Kerberos e LDAP. Tali mitigazioni hanno però un prezzo in termini di prestazioni di rete che può essere anche significativo. Non c'è attualmente una soluzione definitiva.

Il problema più grande è che non è necessario che il sistema sia configurato scorrettamente: le impostazioni predefinite sono tali per cui è possibile effettuare l'attacco con successo. PetitPotam abusa infatti di funzionalità lecite per ottenere un risultato inatteso e Windows Server, nelle versioni da WS 2008 in poi, usa una configurazione predefinita che espone il sistema agli attacchi.

Microsoft sembra non avere intenzione di risolvere il problema, come evidenziato dall'esperto di sicurezza Kevin Beaumont e dall'avviso di sicurezza KB5005413 pubblicato dall'azienda. Il peso di trovare una soluzione al problema ricade dunque sugli amministratori di sistema. A meno che Microsoft, dietro pressione della comunità degli esperti di sicurezza, non decida di intervenire.

16 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
cocky30 Luglio 2021, 16:10 #1
Tradotto per un comuni mortali?
igiolo30 Luglio 2021, 16:31 #2
Originariamente inviato da: cocky
Tradotto per un comuni mortali?


se hanno accesso ad una macchina in dominio, in un batter d'occhio fanno escalation dei privilegi
quindi un utente qualsiasi che prende un virus, diventa administrator in 1 secondo
Axios200630 Luglio 2021, 16:44 #3
Windows Server, nelle versioni da WS 2008 in poi, usa una configurazione predefinita che espone il sistema agli attacchi.

Microsoft sembra non avere intenzione di risolvere il problema


2008 - 2021 e non vogliono correggere... MS sempre in prima linea per la sicurezza.
sbaffo30 Luglio 2021, 17:01 #4
ma non bastava usare intel vPro e TPM vari per essere sicuri, come dice lo spottone pubblicato oggi?
Cfranco30 Luglio 2021, 20:09 #5
Originariamente inviato da: Axios2006
2008 - 2021 e non vogliono correggere... MS sempre in prima linea per la sicurezza.


Non è che non vogliono, il problema è che non possono
L' attacco non usa nessun bug, è NTLM che è bacato dalle fondamenta, è roba introdotta con Windows NT 4 e come crittografia usa ancora MD5 che ha più buchi di una forma di Emmenthal, è un protocollo che è stato criticato fin dall'inizio per essere troppo debole, ed è ufficialmente deprecato dal 2010, è ora di buttarlo nel secchione dell'umido perché la data di scadenza è passata da parecchio
zappy30 Luglio 2021, 21:14 #6
Originariamente inviato da: cocky
Tradotto per un comuni mortali?

che la roba ms è meglio lasciarla sullo scaffale.
zappy30 Luglio 2021, 21:16 #7
Originariamente inviato da: Cfranco
Non è che non vogliono, il problema è che non possono
L' attacco non usa nessun bug, è NTLM che è bacato dalle fondamenta, è roba introdotta con Windows NT 4 e come crittografia usa ancora MD5 che ha più buchi di una forma di Emmenthal, è un protocollo che è stato criticato fin dall'inizio per essere troppo debole, ed è ufficialmente deprecato dal 2010, è ora di buttarlo nel secchione dell'umido perché la data di scadenza è passata da parecchio

e poi sfracassano la mi#chi@ con la presunta sicurezza di win10 (aggiornate, presto, win7 è pericoloso!) e con il TPM obbligatorio per win11 (per presunte motivazioni di sicurezza)...
sfacciati proprio.
sbaffo31 Luglio 2021, 00:13 #8
Originariamente inviato da: Cfranco
Non è che non vogliono, il problema è che non possono
L' attacco non usa nessun bug, è NTLM che è bacato dalle fondamenta, è roba introdotta con Windows NT 4 e come crittografia usa ancora MD5 che ha più buchi di una forma di Emmenthal, è un protocollo che è stato criticato fin dall'inizio per essere troppo debole, ed è ufficialmente deprecato dal 2010, è ora di buttarlo nel secchione dell'umido perché la data di scadenza è passata da parecchio

allora perché è ancora in giro anche nelle versioni successive di WinServer, e attivo di default (a quanto ho capito)?
lollo931 Luglio 2021, 10:20 #9
è presente ormai come poco più di una cortesia per la compatibilità con i vecchi server di dominio e per chi gestisce reti a workgroup invece che a dominio.
bene avrebbero fatto a toglierlo già su WinServer 2012.

ad onor del vero sono almeno 10 anni che MS raccomanda modi differenti di operare sui domini, che sono tipo il 99.9% delle reti business.
per di più, servizi che si appoggino su NTLM sono servizi che nessun IT con un minimo di rispetto per il proprio lavoro fa entrare o restare in azienda da almeno 10 anni.

il dispatch di Kerberos, LDAP o qualunque altra forma di directory ed user pool dev’essere firmato, si lascia una chiave pubblica ed amen. non si può parlare di “impatto sulle prestazioni”, non è il modo di vedere il problema: ci sono modi corretti, ad oggi sicuri e con ampia letteratura di far le cose, e poi ci sono le scorciatoie di miocuggino tipo NTLM (btw, se l’impatto è più di uno zerovirgolaniente è perche come al solito qualcuno vuol far le nozze coi fichi secchi)

I dispatchers pubblichino firmato e non serve altro, a parte aggiornare il transport di tanto in tanto o se saltano fuori debolezze degli algoritmi che generano le chiavi.
igiolo31 Luglio 2021, 10:25 #10
Originariamente inviato da: Cfranco
Non è che non vogliono, il problema è che non possono
L' attacco non usa nessun bug, è NTLM che è bacato dalle fondamenta, è roba introdotta con Windows NT 4 e come crittografia usa ancora MD5 che ha più buchi di una forma di Emmenthal, è un protocollo che è stato criticato fin dall'inizio per essere troppo debole, ed è ufficialmente deprecato dal 2010, è ora di buttarlo nel secchione dell'umido perché la data di scadenza è passata da parecchio


kerberos per tutti!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^