PetitPotam-Angriff erlaubt Windows Domain-Übernahme

Windows[English]Es gibt einen neuen Angriffsvektor namens PetitPotam. Dieser ermöglicht einem Bedrohungsakteur einen NTLM-Relay-Angriff auf Domänencontroller. Letztendlich lassen sich so komplette Domänen übernehmen. Da viele Unternehmen Domain-Controller mit Microsoft Active Directory Certificate Services arbeiten, dürften entsprechend viele Systeme bedroht sein. Hier ein kurzer Überblick, was mir inzwischen bekannt ist. Ergänzung: Es gibt einen Workaround von Microsoft.

Ich bin schon am Donnerstag über den nachfolgenden Tweet von Kevin Beaumont auf das Thema gestoßen, hatte aber bisher keine Zeit, das intensiver zu durchdringen. Das Ganze wurde von dem französischen Sicherheitsforscher Gilles Lionel (Alias Topotam) auf GitHub öffentlich gestellt.

PetitPotam-Angriff erlaubt Windows Domain-Übernahme

Die Nacht hat Lawrence Abrams auf Bleeping Computer dann das Thema aufgegriffen. Ich versuche daher kurz die Informationen zusammen zu fassen.

Windows Domain-Übernahme mit PetitPotam

Viele Unternehmen verwenden Microsoft Active Directory Certificate Services, einen PKI-Server (Public Key Infrastructure), der zur Authentifizierung von Benutzern, Diensten und Maschinen in einer Windows-Domäne verwendet werden kann. Sicherheitsforscher waren auf eine Methode gestoßen, um einen Domänencontroller zu zwingen, sich gegenüber einem bösartigen NTLM-Relay zu authentifizieren. Diese Stelle leitete dann die Anfrage über HTTP an die Active Directory-Zertifikatsdienste einer Domäne weiter. Letztendlich erhält der Angreifer ein Kerberos-Ticket (TGT), mit dem er die Identität eines beliebigen Geräts im Netzwerk, einschließlich eines Domänencontrollers, annehmen könnte.

Einziges Problem ist es, einen Rechner zu zwingen, die Authentifizierung gegenüber einem Remote-Server durchzuführen. Eine Möglichkeit wäre die Verwendung der Funktion RpcRemoteFindFirstPrinterChangeNotification der MS-RPRN-Druck-API. Ein Angreifer, der einen Domänenbenutzer/Computer kontrolliert, kann mit einem bestimmten RPC-Aufruf den Spooler-Dienst eines Ziels, auf dem er läuft, auslösen und ihn dazu bringen, sich bei einem Ziel seiner Wahl zu authentifizieren“, verrät Hacker.recipes in einem Blogbeitrag.

Der Angreifer benötigt aber Zugriff auf die Domäne (d. h. ein kompromittiertes Konto), damit dieser Angriff funktioniert. Denn es wird ein RPC-Aufruf in der SMB-„Pipe“ über die IPC$-Freigabe für den Angriff benötigt. Diese Schwachstelle kann prinzipiell nicht geschlossen werden und ist standardmäßig in allen Windows-Umgebungen aktiviert, heißt es dazu. Seit dieser Angriff bekannt wurde, haben viele Organisationen MS-RPRN deaktiviert, um den Angriffsvektor zu blockieren.

Andererseits: Ist ein solcher Angriff erfolgreich, könnte der Angreifer den Domänencontroller übernehmen und jeden beliebigen Befehl ausführen und so effektiv die Windows-Domäne übernehmen.

Der PeitPotam-PoC auf GitHub

Genau dies scheint der PeitPotam-PoC auf GitHub aufzugreifen. Dazu schreibt der Betreffende, dass er ein Proof of Concept-Tool bereitstelle, mit dem man Windows-Hosts dazu zwingen könne, sich über die MS-EFSRPC-Funktion EfsRpcOpenFileRaw bei anderen Rechnern zu authentifizieren. Dies sei auch über andere Protokolle und Funktionen möglich Die auf GitHub eingestellten Tools verwendeten die LSARPC Named Pipe mit dem Inteface c681d488-d850-11d0-8c52-00c04fd90f7e, weil es weiter verbreitet sei.

Es sei möglich, mit der EFSRPC named pipe und der Schnittstelle df1941c5-fe89-4e79-bf10-463657acf44d die Schwachstelle zu triggern. Dazu brauche es keine Anmeldeinformationen für einen Domain Controller. Und das Deaktivieren des EFS-Dienstes (Encrypting File System) scheint das „Feature“ nicht zu entschärfen.

Lionel hat auf GitHub ein Proof-of-Concept-Skript für die PetitPotam-Technik veröffentlicht, mit dem ein Domain-Controller gezwungen werden kann, sich über die MS-EFSRPC-API gegen ein entferntes NTLM unter der Kontrolle eines Angreifers zu authentifizieren. Anschließend hat er Bleeping Computer kontaktiert, die das Ganze dann im erwähnten Artikel aufbereitet haben. Lionel wird von Abrams im Artikel mit folgender Aussage zitiert:

In meinen Augen ist dies keine Schwachstelle, sondern ein Missbrauch einer legitimen Funktion. Eine Funktion, die nicht das Maschinenkonto zur Authentifizierung verwenden sollte, wie zum Beispiel beim Printer-Bug.

Neben dem Angriff durch Weiterleitung der SMB-Authentifizierung an einen HTTP-Zertifikatsregistrierungsserver (Zwecks vollständiger Übernahme des Domänencontrollers) kann dieser PoC auch für andere Angriffe genutzt werden. Dazu gehören beispielsweise ein NTLMv1-Downgrade und das Weiterleiten von Maschinenkonten auf Computern, bei denen dieses Maschinenkonto lokaler Administrator ist (SCCM, Exchange Server, sind Beispiele wo das auftritt).

Der Sicherheitsforscher meint, dass die einzige Möglichkeit zur Entschärfung der Problematik darin besteht, die NTLM-Authentifizierung zu deaktivieren oder Schutzmaßnahmen wie SMB-Signierung, LDAP-Signierung und Kanalbindung zu aktivieren. Es sei leider keine Möglichkeit bekannt, die Verwendung von EfsRpcOpenFileRaw zur Weiterleitung von Authentifizierungsanfragen zu deaktivieren. Ein Anhalten des EFS-Dienstes verhindert solche Angriffe nicht.

Erste Einschätzungen

Von Microsoft ist mir noch keine Stellungnahme zu PetitPotam bekannt – Bleeping Computer hatte dazu zwar angefragt, wohl aber noch keine Antwort erhalten. Seit der PoC auf Github bekannt ist, haben aber einige Sicherheitsforscher sich das Ganze angesehen. Kevin Beaumont  hatte ja in dem obigen verlinkten Tweet schon darauf hingewiesen, dass das ein großes Problem werde. Benjamin Delpy, der in den letzten Wochen einige Schwachstellen im Print-Spooler-Dienst (PrintNightmare) offen gelegt hat, greift das in nachfolgendem Tweet auf.

Bleeping Computer zitiert diesen Tweet von Sicherheitsforscher Rémi Escourrou (hatte ich sogar gesehen, aber auf Grund des verwendeten Bilds nicht mit PetitPotam verbunden).

PetitPotam-Einschätzung

Endlich fertig mit dem Testen, es ist ziemlich brutal! Netzwerkzugriff bis hin zur vollständigen AD-Übernahme… Ich habe die Auswirkungen von NTLM-Relay auf die PKI wirklich unterschätzt #ESC8. Die Kombination mit PetitPotam ist genial!

Alles ist bereits veröffentlicht, um es schnell auszunutzen …

Hier beschreibt der Sicherheitsforscher einige erforderliche Schritte. In der Diskussion mit anderen Nutzern weist jemand hier darauf hin, dass es in deren Standardkonfiguration Domain Controllern nicht erlaubt sei, Workstation-Templates zu verwenden. Dann scheint der vom Tester benutzt Ansatz nicht zu funktionieren. Aber es gibt andere Wege für den Angriff.

Abschließende Bemerkungen

Ich selbst verfüge nicht über das Wissen, das Ganze endgültig einzuordnen, zumal ich im Bereich AD-Administration keinerlei Aktivitäten habe. In obigem Text sind aber die wichtigsten Fundstellen und Einschätzungen von Sicherheitsforschern zusammengefasst, so dass sich betroffene Administratoren selbst ein Bild machen können. Möchte ja vermeiden, dass mal wieder so was wie hier als Panikmache in den Ring geworfen wird, nur weil sich jemand nicht betroffen fühlt. Also  macht was draus.

Ob und wann das Ganze erstmals ausgenutzt wird, muss man abwarten. Mir ist in diesem Zusammenhang das folgende Zitat aus einer Pressemitteilung der Stadt Geisenheim im Rheingau im Hinterkopf.

Nach derzeitigem Kenntnisstand hat die Malware, vermutlich durch einen Link oder Mail-Anhang aufgerufen, erfolgreich das Netz infiltrieren können. Dies wurde zwar durch den sehr sensibel eingestellten Virenscanner (bzw. dessen Verhaltensüberwachung; Virenpattern, welche die Malware erkennen konnten, kamen erst ca. 2 Stunden nach dem Vorfall raus) kurz darauf entdeckt, allerdings konnte die Installation der Malware nicht ganz verhindert werden. Die Malware nutze dabei eine zu diesem Zeitpunkt nicht gepatchte Sicherheitslücke.

Die IT der Stadtverwaltung wurde Opfer einer Ransomware – hatte ich im Blog aber nicht thematisiert. Jedenfalls wurde die komplette IT vor einer Woche heruntergefahren, so langsam kommen die nun ans Arbeiten zurück.

Microsofts Sicherheitshinweis mit Workaround

Ergänzung: Microsoft hat wenige Stunden nach Veröffentlichung dieses Blog-Beitrags einen Sicherheitshinweis mit einem Workaround zum PetitPotam-Angriffsvektor veröffentlicht – siehe auch nachfolgendem Kommentar sowie meinen Blog-Beitrag Microsoft liefert Workaround für Windows PetitPotam NTLM-Relay-Angriffe.

Ähnliche Artikel:
PetitPotam-Angriff erlaubt Windows Domain-Übernahme
Microsoft liefert Workaround für Windows PetitPotam NTLM-Relay-Angriffe.
HiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934
Neue Infos zur Windows 10-Schwachstelle HiveNightmare
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu PetitPotam-Angriff erlaubt Windows Domain-Übernahme

  1. Gabriel sagt:

    Bin ich jetzt auf dem falschen Dampfer wenn ich das ganze folgendermaßen interpretiere?
    ADDS Umgebungen mit PKI haben ein Problem.
    ADDS Umgebungen ohne haben keines.?
    Zur Not die PKI Abschalten bis ein Patch draußen ist und mit den Kollateralschäden leben?

    • Carsten sagt:

      Ich war auch die ganze Zeit am rätseln. Microsoft hat jetzt was veröffentlicht:

      https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

      Hier steht auch folgendes:

      You are potentially vulnerable to this attack if NTLM authentication is enabled in your domain and you are using Active Directory Certificate Services (AD CS) with any of the following services:

      – Certificate Authority Web Enrollment
      – Certificate Enrollment Web Service

      Gruß

  2. 1ST1 sagt:

    Zum Glück ist Wochenende… Und mir stellen sich gerade wieder die Nackenhaare auf, und die Fußnägel rollen sich, könnt ihr das hören? Wurde die Schwachstelle bzw. der PoC vor 90 Tagen am Microsoft gemeldet, damit eine Chance besteht, dass MS per Update etwas machen kann? Nein, natürlich nicht, kaum funzt der PoC muss man damit im Internet prahlen gehen! Denn sonst stände ja unter dem Artikel „Microsoft hat zum Juli-Patchday entsprechende Updates verteilt, seht zu dass ihr eure Kisten durchpatcht!“ Leute, die solche Lücken finden, sind Genies, Hochachtung, und gleichzeitig auch wieder nicht.

    • 1ST1 sagt:

      Morgen muss ich mal ins Härtungs-Protokoll reinschauen, es kann sogar sein, dass ich – als eine von vielen Maßnahmen – NTLM mal abgeschaltet habe. Dann dürfte der Angriff ins Leere laufen. NTLM ist veraltet und wird eigentlich nicht mehr benötigt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert