¿Qué es un ataque PetitPotam?¿Cómo superar un ataque PetitPotam?

Recientemente, el investigador de seguridad francés Gilles Lionel, también conocido como Topotam, presentó una nueva técnica de ataque llamada PetitPotam. Este es un ataque de reenvío NTLM que no se basa en la API de MS-RPRN, sino que utiliza la función EfsRpcOpenFileRaw de la API de MS-EFSRPC.

El MS-EFSRPC es el protocolo de cifrado de archivos del sistema remoto de Microsoft, comúnmente utilizado para realizar operaciones para mantener y administrar datos cifrados almacenados de forma remota y a los que se accede a través de una red.

Según Lionel, esto no es un error, sino un abuso de la función legítima del sistema. PetitPotam no solo permite que los piratas informáticos tomen el control de dominios completos de Windows, sino que también genera otros ataques, dijo Lionel.

Figura 1 ¿Qué es un ataque de PetitPotam? ¿Cómo superar un ataque de PetitPotam?

Poco después de que Lionel publicara su investigación en GitHub, muchos otros expertos en seguridad comenzaron a probarla. El investigador de seguridad Remi Escourrou ha confirmado que PetitPotam se puede utilizar para controlar todo el Active Directory. Además, agregó, realmente no hay forma de detener a Petit Potam.

PetitPotam afecta a Windows Server 2008 hasta 2019. Según Microsoft, no hay indicios de que los piratas informáticos hayan utilizado la técnica de ataque PetitPotam.

Microsoft comparte cómo arreglar PetitPotam

En una declaración reciente, Microsoft reconoce que las organizaciones pueden ser vulnerables a los ataques de PetitPotam. Microsoft no ha realizado ningún ajuste en este momento, pero se recomienda a las organizaciones que sigan los siguientes pasos para minimizar el daño causado por PetitPotam:

  1. Deshabilite NTLM donde no lo necesite (como controladores de dominio)
  2. Habilite la protección de autenticación avanzada para proteger la información de inicio de sesión de las computadoras con Windows

Sin embargo, PetitPotam está atacando abusando de la función EfsRpcOpenFileRaw de la API de MS-EFSRPC para transmitir solicitudes de autenticación, lo que abre la puerta a otros ataques. Las recomendaciones de Microsoft solo previenen los ataques de redirección NTLM, no el abuso de la API MS-EFSRPC. Tal vez Microsoft necesite lanzar una actualización para solucionar esto.

El experto en seguridad Benjamin Delpy dijo que las medidas de mitigación proporcionadas por Microsoft no fueron satisfactorias. El protocolo EFSRPC ni siquiera se menciona.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!