Conversation

Filtros RPC (NETSH) para bloquear PetitPotam

A finales de junio Will Schroeder(@harmj0y) y Lee Christensen (@tifkin_) publicaron un excelente paper "Certified Pre-Owned - Abusing Active Directory Certificate Services" en el que destacaba que los servicios de web enrollment de servidores ACDS - aka PKIs de Microsoft - eran vulnerables a NTLM relay (ESC8). Esto sumado a la explotación del servicio spooler MS-RPRN, que fuerza que un controlador de dominio envíe al atacante un hash de autenticación NTLM, podía derivar en una cadena de ataque que podría permitir la obtención de un certificado firmado con todo lo que conlleva: obtención de TGT y game over.

Al menos, no era tan "grave" (por decir algo) porque explotar MS-RPRN requería autenticación previa y se solucionaba parando el servicio. Microsoft volvía a apuntar de nuevo hacia las mitigaciones genéricas contra el relay NTLM y los dos investigadores de Specterops lanzaron también una herramienta para chequear las distintos fallos en ACDS, dejando en el disparadero las herramientas ofensivas para la su charla de este miércoles en Las Vegas... pero los acontecimientos se precipitaron...

Por un lado el francés Lionel Gilles (@topotam77) descubrió que llamando a una función de MS-EFSRPC vía una pipe LSARPC también es posible forzar el envío de un hash NTLM, salvo que esta vez NO es necesario si quiera autenticación y, para más inri, no es posible mitigarlo parando un servicio. Había nacido el f*cking PetitPotam...

https://www.hackplayers.com/2021/08/filtros-rpc-netsh-para-bloquear-ataques.html
#Ñ #seguridad