Ανακαλύφθηκε μια νέα επίθεση NTLM που ονομάζεται PetitPotam, η οποία επιτρέπει στους hackers να αναλάβουν έναν ελεγκτή τομέα και, επομένως, έναν ολόκληρο τομέα των Windows.
Πολλοί οργανισμοί χρησιμοποιούν το Microsoft Active Directory Certificate Services, ο οποίος είναι διακομιστής υποδομής δημόσιου κλειδιού (PKI) που μπορεί να χρησιμοποιηθεί για τον έλεγχο ταυτότητας χρηστών, υπηρεσιών και υπολογιστών σε τομέα Windows.
Στο παρελθόν, οι ερευνητές ανακάλυψαν μια μέθοδο για να αναγκάσουν έναν ελεγκτή τομέα να πραγματοποιήσει έλεγχο ταυτότητας έναντι ενός κακόβουλου NTLM που στη συνέχεια θα προωθούσε το αίτημα σε υπηρεσίες πιστοποιητικού Active Directory ενός τομέα μέσω HTTP.
Τελικά, στον εισβολέα θα χορηγηθεί ένα εισιτήριο Kerberos που παραχωρεί εισιτήριο (TGT) που θα τους επέτρεπε να αναλάβουν την ταυτότητα οποιασδήποτε συσκευής στο δίκτυο, συμπεριλαμβανομένου ενός ελεγκτή τομέα.
Για να αναγκάσει τη μηχανή για να εκτελέσει τον έλεγχο ταυτότητας σε έναν απομακρυσμένο server, ένας εισβολέας θα μπορούσε να χρησιμοποιήσει τη RpcRemoteFindFirstPrinterChangeNotification λειτουργίατου MS-RPRN εκτύπωση API.
“Το Print Spooler της Microsoft είναι μια υπηρεσία που χειρίζεται τις εργασίες εκτύπωσης και άλλες διάφορες λήψεις που σχετίζονται με την εκτύπωση. Ένας εισβολέας που ελέγχει έναν χρήστη τομέα / υπολογιστή μπορεί, με μια συγκεκριμένη κλήση RPC, να ενεργοποιήσει την υπηρεσία spooler ενός στόχου που την εκτελεί και να τον κάνει έλεγχο ταυτότητας σε ένα στόχος της επιλογής του εισβολέα, “μια ανάρτηση ιστολογίου εξηγεί στο Hacker.recipes.
Εάν αυτή η επίθεση είναι επιτυχής, ο εισβολέας θα μπορούσε να αναλάβει τον ελεγκτή τομέα και να εκτελέσει οποιαδήποτε εντολή επιθυμεί, αναλαμβάνοντας αποτελεσματικά τον τομέα των Windows.
Από τότε που αποκαλύφθηκε αυτή η επίθεση, πολλοί οργανισμοί απενεργοποίησαν το MS-RPRN για να μπλοκάρουν τον φορέα επίθεσης.