Sono tante le aziende che utilizzano Microsoft Active Directory Certificate Services, un servizio PKI (public key infrastructure) che serve per autenticare utenti e dispositivi all’interno di un dominio Windows.
Il ricercatore Filip Dragovic ha scoperto una grave falla di sicurezza che espone ad attacchi battezzati DFSCoerce e può consentire a un aggressore di assumere il controllo su un intero dominio.
DFSCoerce è un esempio di NTLM relay attack ovvero di un’aggressione che prende di mira la nota suite di protocolli di sicurezza Microsoft.
Cos’è NTLM
Acronimo di NT LAN Manager, NTLM è un protocollo di autenticazione proprietario che è stato introdotto nei sistemi operativi Microsoft negli anni ’90. Soltanto con il rilascio di Windows 2000 l’azienda di Redmond introdusse una più evoluta e sicura alternativa: Kerberos.
Progettato per offrire autenticazione, integrità e confidenzialità agli utenti, in realtà NTLM soffre di diverse limitazioni che lo rendono intrinsecamente insicuro. Il problema principale è che NTLM non usa algoritmi crittografici moderni come AES o SHA-256: ciò rende gli hash delle password vulnerabili a semplici attacchi di brute forcing sferrati ad esempio con HashCat.
Usando le cosiddette rainbow tables è altresì possibile invertire la funzione di hash e risalire alle password reali degli utenti.
Per questo motivo avevamo a suo tempo consigliato di disattivare il download automatico dei file nel browser.
Cosa sono gli NTLM relay attack
In un’aggressione del tipo NTLM relay attack l’utente malintenzionato si frappone tra client e server e intercetta i pacchetti dati utilizzati per l’autenticazione. Intercettando le richieste di autenticazione provenienti dal client, inoltrandole al server e prendendo nota delle risposte ricevute, l’aggressore può autenticarsi usando le credenziali di un altro soggetto.
Nei relay attack il client crede di colloquiare con il server legittimo mentre in realtà è in corso un attacco teso a sottrarre le password altrui.
I rischi di attacco sono più che concreti: sfruttando gli NTLM relay attack gli utenti possono eseguire codice da remoto su una macchina Windows oppure muoversi lateralmente all’interno della rete locale raggiungendo anche i controller di dominio.
Per questo motivo da tempo Microsoft invita gli utenti di Active Directory ad accantonare l’utilizzo di NTLM.
Come funziona il nuovo attacco DFSCoerce
Dragovic ha rilasciato il codice proof-of-concept dell’attacco DFSCoerce: si basa sul noto exploit PetitPotam già usato per aggredire le installazioni di Microsoft Exchange ma questa volta viene sfruttato il protocollo Microsoft Distributed File System (MS-DFSNM).
Trattandosi di un’aggressione che funziona sull’interfaccia RPC di Windows, è molto facile per un aggressore sfruttare la vulnerabilità in questione e diventare un amministratore di dominio usando un account utente dotato di privilegi limitati.
In attesa di una patch ufficiale, il miglior modo per scongiurare eventuali attacchi consiste nell’applicare i suggerimenti Microsoft utili a evitare l’attaco PetitPotam.