Windows Server, vulnerable a ataque de retransmisión NTLM

Fecha de publicación: 27/07/2021

Importancia:
Alta

Recursos afectados:

• Windows Server 2012,
• Windows Server 2008,
• Windows Server 2016,
• Windows Server 20H2,
• Windows Server 2004,
• Windows Server 2019.

Descripción:

El investigador Gilles Lionel ha reportado una vulnerabilidad, de severidad crítica y denominada PetitPotam, que podría permitir a un atacante remoto acceder a información de autenticación NTLM u otros certificados de autenticación, y tomar el control de los equipos de una red.

Existe una prueba de concepto (PoC) pública para esta vulnerabilidad.

Solución:

Por el momento no existe un parche de seguridad, por lo que Microsoft recomienda tomar una de las siguientes medidas de mitigación:

• Desactivar la autenticación NTLM en el controlador de dominio de Windows siguiendo las indicaciones de la guía “Network security: Restrict NTLM: NTLM authentication in this domain”.
• En caso de no poder implementar la anterior solución, se recomienda:
  • Desactivar NTLM en cualquier servidor AD CS mediante políticas de grupo y siguiendo las indicaciones de la guía “Network security: Restrict NTLM: Incoming NTLM traffic”.
  • Desactivar NTLM para Internet Information Services (SII) en los servidores AD CS que ejecutan los servicios “Inscripción web de la autoridad de certificación” o “Servicio web de inscripción de certificados”.
  • Habilitar la función de protección extendida para la autenticación (EPA) en los servidores AD CS si NTLM no puede ser desactivado totalmente.

Detalle:

Una vulnerabilidad en el sistema operativo de Windows podría permitir a un atacante remoto desarrollar un ataque de retransmisión NTLM, mediante el abuso del protocolo MS-EFSRPC, para recopilar información de autenticación NTLM u otros certificados de autenticación y así, acceder y tomar el control de los equipos de una red.

Etiquetas:
Microsoft, Vulnerabilidad, Windows