Microsoft comparte más información sobre la protección de sistemas contra ataques PetitPotam

Microsoft ha compartido más información sobre cómo las organizaciones pueden proteger los controladores de dominio de Windows y otros servidores de Windows contra posibles ataques de PetitPotam .

PetitPotam

PetitPotam es el nombre asignado a una vulnerabilidad que puede ser explotada por un atacante no autenticado para conseguir que un servidor objetivo se conecte a un servidor arbitrario y realice la autenticación NTLM.

PetitPotam se puede encadenar con un exploit dirigido a los Servicios de certificados de Active Directory (AD CS) para finalmente tomar el control completo de un dominio de Windows.

La semana pasada, el investigador de seguridad con sede en Francia Lionel Gilles (también conocido como Topotam) puso a disposición una herramienta de explotación de prueba de concepto (PoC) para PetitPotam, y el Centro de tormentas de Internet del Instituto SANS ha publicado una descripción paso a paso del ataque. .

Microsoft publicó un aviso en respuesta a los hallazgos, describiendo PetitPotam como un «clásico ataque de retransmisión NTLM» y señalando las mitigaciones proporcionadas anteriormente.

Sin embargo, algunos expertos en ciberseguridad no estaban contentos con la respuesta de Microsoft. Esta semana, el gigante tecnológico actualizó su aviso y compartió mitigaciones detalladas que incluyen habilitar la función de Protección Extendida para Autenticación (EPA) y deshabilitar HTTP en AD CS, y deshabilitar la autenticación NTLM cuando sea posible.

Según Microsoft, Windows Server 2008, Server 2012, Server 2016, Server 2019 y Server (20H2 y 2004) se ven afectados. El aviso de la compañía confirma que la información sobre PetitPotam está disponible públicamente, pero dice que no ha sido explotada en ataques.

En una publicación de blog publicada el jueves, la firma de ciberseguridad Malwarebytes describió el ataque PetitPotam y señaló que será difícil parchear «sin romper cosas» debido al hecho de que abusa de la funcionalidad legítima.

Fuente:securityweek.com

Comments are closed.