Windows Server, vulnerable a ataque de retransmisión NTLM
- Windows Server 2012,
- Windows Server 2008,
- Windows Server 2016,
- Windows Server 20H2,
- Windows Server 2004,
- Windows Server 2019.
El investigador Gilles Lionel ha reportado una vulnerabilidad, de severidad crítica y denominada PetitPotam, que podría permitir a un atacante remoto acceder a información de autenticación NTLM u otros certificados de autenticación, y tomar el control de los equipos de una red.
Existe una prueba de concepto (PoC) pública para esta vulnerabilidad.
Por el momento no existe un parche de seguridad, por lo que Microsoft recomienda tomar una de las siguientes medidas de mitigación:
- Desactivar la autenticación NTLM en el controlador de dominio de Windows siguiendo las indicaciones de la guía “Network security: Restrict NTLM: NTLM authentication in this domain”.
- En caso de no poder implementar la anterior solución, se recomienda:
- Desactivar NTLM en cualquier servidor AD CS mediante políticas de grupo y siguiendo las indicaciones de la guía “Network security: Restrict NTLM: Incoming NTLM traffic”.
- Desactivar NTLM para Internet Information Services (SII) en los servidores AD CS que ejecutan los servicios “Inscripción web de la autoridad de certificación” o “Servicio web de inscripción de certificados”.
- Habilitar la función de protección extendida para la autenticación (EPA) en los servidores AD CS si NTLM no puede ser desactivado totalmente.
Una vulnerabilidad en el sistema operativo de Windows podría permitir a un atacante remoto desarrollar un ataque de retransmisión NTLM, mediante el abuso del protocolo MS-EFSRPC, para recopilar información de autenticación NTLM u otros certificados de autenticación y así, acceder y tomar el control de los equipos de una red.