{"id":256074,"date":"2021-07-24T10:01:31","date_gmt":"2021-07-24T08:01:31","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256074"},"modified":"2022-02-27T07:24:05","modified_gmt":"2022-02-27T06:24:05","slug":"petitpotam-angriff-erlaubt-windows-domain-bernahme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/24\/petitpotam-angriff-erlaubt-windows-domain-bernahme\/","title":{"rendered":"PetitPotam-Angriff erlaubt Windows Domain-Übernahme"},"content":{"rendered":"

\"Windows\"[English<\/a>]Es gibt einen neuen Angriffsvektor namens PetitPotam. Dieser erm\u00f6glicht einem Bedrohungsakteur einen NTLM-Relay-Angriff auf Dom\u00e4nencontroller. Letztendlich lassen sich so komplette Dom\u00e4nen \u00fcbernehmen. Da viele Unternehmen Domain-Controller mit Microsoft Active Directory Certificate Services arbeiten, d\u00fcrften entsprechend viele Systeme bedroht sein. Hier ein kurzer \u00dcberblick, was mir inzwischen bekannt ist. Erg\u00e4nzung:<\/strong> Es gibt einen Workaround von Microsoft.<\/p>\n

<\/p>\n

\"\"Ich bin schon am Donnerstag \u00fcber den nachfolgenden Tweet<\/a> von Kevin Beaumont auf das Thema gesto\u00dfen, hatte aber bisher keine Zeit, das intensiver zu durchdringen. Das Ganze wurde von dem franz\u00f6sischen Sicherheitsforscher Gilles Lionel (Alias Topotam) auf GitHub<\/a> \u00f6ffentlich gestellt.<\/p>\n

\"PetitPotam-Angriff<\/a><\/p>\n

Die Nacht hat Lawrence Abrams auf Bleeping Computer dann das Thema aufgegriffen<\/a>. Ich versuche daher kurz die Informationen zusammen zu fassen.<\/p>\n

Windows Domain-\u00dcbernahme mit PetitPotam<\/h2>\n

Viele Unternehmen verwenden Microsoft Active Directory Certificate Services, einen PKI-Server (Public Key Infrastructure), der zur Authentifizierung von Benutzern, Diensten und Maschinen in einer Windows-Dom\u00e4ne verwendet werden kann. Sicherheitsforscher waren auf eine Methode gesto\u00dfen<\/a>, um einen Dom\u00e4nencontroller zu zwingen, sich gegen\u00fcber einem b\u00f6sartigen NTLM-Relay zu authentifizieren. Diese Stelle leitete dann die Anfrage \u00fcber HTTP an die Active Directory-Zertifikatsdienste einer Dom\u00e4ne weiter. Letztendlich erh\u00e4lt der Angreifer ein Kerberos-Ticket (TGT), mit dem er die Identit\u00e4t eines beliebigen Ger\u00e4ts im Netzwerk, einschlie\u00dflich eines Dom\u00e4nencontrollers, annehmen k\u00f6nnte.<\/p>\n

Einziges Problem ist es, einen Rechner zu zwingen, die Authentifizierung gegen\u00fcber einem Remote-Server durchzuf\u00fchren. Eine M\u00f6glichkeit w\u00e4re die Verwendung der Funktion RpcRemoteFindFirstPrinterChangeNotification der MS-RPRN-Druck-API. Ein Angreifer, der einen Dom\u00e4nenbenutzer\/Computer kontrolliert, kann mit einem bestimmten RPC-Aufruf den Spooler-Dienst eines Ziels, auf dem er l\u00e4uft, ausl\u00f6sen und ihn dazu bringen, sich bei einem Ziel seiner Wahl zu authentifizieren\", verr\u00e4t Hacker.recipes in einem Blogbeitrag<\/a>.<\/p>\n

Der Angreifer ben\u00f6tigt aber Zugriff auf die Dom\u00e4ne (d. h. ein kompromittiertes Konto), damit dieser Angriff funktioniert. Denn es wird ein RPC-Aufruf in der SMB-\"Pipe\" \u00fcber die IPC$-Freigabe f\u00fcr den Angriff ben\u00f6tigt. Diese Schwachstelle kann prinzipiell nicht geschlossen werden und ist standardm\u00e4\u00dfig in allen Windows-Umgebungen aktiviert, hei\u00dft es dazu. Seit dieser Angriff bekannt wurde, haben viele Organisationen MS-RPRN deaktiviert, um den Angriffsvektor zu blockieren.<\/p>\n

Andererseits: Ist ein solcher Angriff erfolgreich, k\u00f6nnte der Angreifer den Dom\u00e4nencontroller \u00fcbernehmen und jeden beliebigen Befehl ausf\u00fchren und so effektiv die Windows-Dom\u00e4ne \u00fcbernehmen.<\/p>\n

Der PeitPotam-PoC auf GitHub<\/h2>\n

Genau dies scheint der PeitPotam-PoC auf GitHub aufzugreifen. Dazu schreibt der Betreffende<\/a>, dass er ein Proof of Concept-Tool bereitstelle, mit dem man Windows-Hosts dazu zwingen k\u00f6nne, sich \u00fcber die MS-EFSRPC-Funktion EfsRpcOpenFileRaw bei anderen Rechnern zu authentifizieren. Dies sei auch \u00fcber andere Protokolle und Funktionen m\u00f6glich Die auf GitHub eingestellten Tools verwendeten die LSARPC Named Pipe mit dem Inteface c681d488-d850-11d0-8c52-00c04fd90f7e, weil es weiter verbreitet sei.<\/p>\n

Es sei m\u00f6glich, mit der EFSRPC named pipe und der Schnittstelle df1941c5-fe89-4e79-bf10-463657acf44d die Schwachstelle zu triggern. Dazu brauche es keine Anmeldeinformationen f\u00fcr einen Domain Controller. Und das Deaktivieren des EFS-Dienstes (Encrypting File System) scheint das \"Feature\" nicht zu entsch\u00e4rfen.<\/p>\n

Lionel hat auf GitHub ein Proof-of-Concept-Skript f\u00fcr die PetitPotam-Technik ver\u00f6ffentlicht, mit dem ein Domain-Controller gezwungen werden kann, sich \u00fcber die MS-EFSRPC-API gegen ein entferntes NTLM unter der Kontrolle eines Angreifers zu authentifizieren. Anschlie\u00dfend hat er Bleeping Computer kontaktiert, die das Ganze dann im erw\u00e4hnten Artikel<\/a> aufbereitet haben. Lionel wird von Abrams im Artikel mit folgender Aussage zitiert:<\/p>\n

In meinen Augen ist dies keine Schwachstelle, sondern ein Missbrauch einer legitimen Funktion. Eine Funktion, die nicht das Maschinenkonto zur Authentifizierung verwenden sollte, wie zum Beispiel beim Printer-Bug.<\/p><\/blockquote>\n

Neben dem Angriff durch Weiterleitung der SMB-Authentifizierung an einen HTTP-Zertifikatsregistrierungsserver (Zwecks vollst\u00e4ndiger \u00dcbernahme des Dom\u00e4nencontrollers) kann dieser PoC auch f\u00fcr andere Angriffe genutzt werden. Dazu geh\u00f6ren beispielsweise ein NTLMv1-Downgrade und das Weiterleiten von Maschinenkonten auf Computern, bei denen dieses Maschinenkonto lokaler Administrator ist (SCCM, Exchange Server, sind Beispiele wo das auftritt).<\/p>\n

Der Sicherheitsforscher meint, dass die einzige M\u00f6glichkeit zur Entsch\u00e4rfung der Problematik darin besteht, die NTLM-Authentifizierung zu deaktivieren oder Schutzma\u00dfnahmen wie SMB-Signierung, LDAP-Signierung und Kanalbindung zu aktivieren. Es sei leider keine M\u00f6glichkeit bekannt, die Verwendung von EfsRpcOpenFileRaw zur Weiterleitung von Authentifizierungsanfragen zu deaktivieren. Ein Anhalten des EFS-Dienstes verhindert solche Angriffe nicht.<\/p>\n

Erste Einsch\u00e4tzungen<\/h2>\n

Von Microsoft ist mir noch keine Stellungnahme zu PetitPotam bekannt – Bleeping Computer hatte dazu zwar angefragt, wohl aber noch keine Antwort erhalten. Seit der PoC auf Github bekannt ist, haben aber einige Sicherheitsforscher sich das Ganze angesehen. Kevin Beaumont\u00a0 hatte ja in dem obigen verlinkten Tweet schon darauf hingewiesen, dass das ein gro\u00dfes Problem werde. Benjamin Delpy, der in den letzten Wochen einige Schwachstellen im Print-Spooler-Dienst (PrintNightmare) offen gelegt hat, greift das in nachfolgendem Tweet<\/a> auf.<\/p>\n

<\/a><\/p>\n

Bleeping Computer zitiert diesen Tweet<\/a> von Sicherheitsforscher R\u00e9mi Escourrou (hatte ich sogar gesehen, aber auf Grund des verwendeten Bilds nicht mit PetitPotam verbunden).<\/p>\n

\"PetitPotam-Einsch\u00e4tzung\"<\/p>\n

Endlich fertig mit dem Testen, es ist ziemlich brutal! Netzwerkzugriff bis hin zur vollst\u00e4ndigen AD-\u00dcbernahme… Ich habe die Auswirkungen von NTLM-Relay auf die PKI wirklich untersch\u00e4tzt #ESC8. Die Kombination mit PetitPotam ist genial!<\/p>\n

Alles ist bereits ver\u00f6ffentlicht, um es schnell auszunutzen …<\/p><\/blockquote>\n

Hier beschreibt<\/a> der Sicherheitsforscher einige erforderliche Schritte. In der Diskussion mit anderen Nutzern weist jemand hier<\/a> darauf hin, dass es in deren Standardkonfiguration Domain Controllern nicht erlaubt sei, Workstation-Templates zu verwenden. Dann scheint der vom Tester benutzt Ansatz nicht zu funktionieren. Aber es gibt andere Wege f\u00fcr den Angriff.<\/p>\n

Abschlie\u00dfende Bemerkungen<\/h3>\n

Ich selbst verf\u00fcge nicht \u00fcber das Wissen, das Ganze endg\u00fcltig einzuordnen, zumal ich im Bereich AD-Administration keinerlei Aktivit\u00e4ten habe. In obigem Text sind aber die wichtigsten Fundstellen und Einsch\u00e4tzungen von Sicherheitsforschern zusammengefasst, so dass sich betroffene Administratoren selbst ein Bild machen k\u00f6nnen. M\u00f6chte ja vermeiden, dass mal wieder so was wie hier<\/a> als Panikmache in den Ring geworfen wird, nur weil sich jemand nicht betroffen f\u00fchlt. Also\u00a0 macht was draus.<\/p>\n

Ob und wann das Ganze erstmals ausgenutzt wird, muss man abwarten. Mir ist in diesem Zusammenhang das folgende Zitat aus einer Pressemitteilung<\/a> der Stadt Geisenheim im Rheingau im Hinterkopf.<\/p>\n

Nach derzeitigem Kenntnisstand hat die Malware, vermutlich durch einen Link oder Mail-Anhang aufgerufen, erfolgreich das Netz infiltrieren k\u00f6nnen. Dies wurde zwar durch den sehr sensibel eingestellten Virenscanner (bzw. dessen Verhaltens\u00fcberwachung; Virenpattern, welche die Malware erkennen konnten, kamen erst ca. 2 Stunden nach dem Vorfall raus) kurz darauf entdeckt, allerdings konnte die Installation der Malware nicht ganz verhindert werden. Die Malware nutze dabei eine zu diesem Zeitpunkt nicht gepatchte Sicherheitsl\u00fccke<\/em>.<\/p><\/blockquote>\n

Die IT der Stadtverwaltung wurde Opfer einer Ransomware – hatte ich im Blog aber nicht thematisiert. Jedenfalls wurde die komplette IT vor einer Woche heruntergefahren, so langsam kommen die nun ans Arbeiten zur\u00fcck.<\/p>\n

Microsofts Sicherheitshinweis mit Workaround<\/h3>\n

Erg\u00e4nzung:<\/strong> Microsoft hat wenige Stunden nach Ver\u00f6ffentlichung dieses Blog-Beitrags einen Sicherheitshinweis mit einem Workaround zum PetitPotam-Angriffsvektor ver\u00f6ffentlicht – siehe auch nachfolgendem Kommentar sowie meinen Blog-Beitrag\u00a0Microsoft liefert Workaround f\u00fcr Windows PetitPotam NTLM-Relay-Angriffe<\/a>.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nPetitPotam-Angriff erlaubt Windows Domain-\u00dcbernahme<\/a>
\nMicrosoft liefert Workaround f\u00fcr Windows PetitPotam NTLM-Relay-Angriffe<\/a>.
\nHiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934<\/a>
\nNeue Infos zur Windows 10-Schwachstelle HiveNightmare<\/a>
\nPrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Es gibt einen neuen Angriffsvektor namens PetitPotam. Dieser erm\u00f6glicht einem Bedrohungsakteur einen NTLM-Relay-Angriff auf Dom\u00e4nencontroller. Letztendlich lassen sich so komplette Dom\u00e4nen \u00fcbernehmen. Da viele Unternehmen Domain-Controller mit Microsoft Active Directory Certificate Services arbeiten, d\u00fcrften entsprechend viele Systeme bedroht sein. Hier … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-256074","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256074","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256074"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256074\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256074"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256074"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256074"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}