Resumo
A Microsoft tem conhecimento do PetitPotam, que pode ser potencialmente utilizado para ataque Windows controladores de domínio ou outros Windows servidores. PetitPotam é um Ataque de Relay NTLM clássico e esses ataques foram documentados anteriormente pela Microsoft, juntamente com várias opções de mitigação para proteger os clientes. Por exemplo: Aviso de Segurança da Microsoft 974926.
Para impedir os Ataques de Relay NTLM em redes com o NTLM ativado, os administradores de domínio têm de garantir que os serviços que permitem a autenticação NTLM utilizam as proteções, como a Proteção Estendida para Autenticação (EPA) ou funcionalidades de assinatura, como a assinatura SMB. PetitPotam tira partido dos servidores onde os Serviços de Certificado do Active Directory (AD CS) não estão configurados com proteções para Ataques de Relay de NTLM. As mitigações abaixo são esboçadas para os clientes sobre como proteger os seus servidores AD CS contra esses ataques.
Está potencialmente vulnerável a este ataque se estiver a utilizar os Serviços de Certificados do Active Directory (AD CS) com qualquer um dos seguintes serviços:
-
Inscrição Na Web de Autoridade de Certificado
-
Serviço Web de Inscrição de Certificados
Mitigação
Se o seu ambiente for potencialmente afetado, recomendamos as seguintes mitigações:
Mitigação principal
Recomendamos a ativação do EPA e a desativação de HTTP em servidores AD CS. Abra o Gestor Serviços de Informação Internet (IIS) e faça o seguinte:
-
Ativar a Inscrição Web da EPA para Autoridade de Certificados, sendo necessária a opção mais segura e recomendada:
-
Ativar o Serviço Web EPA para Inscrição de Certificados, sendo necessária a opção mais segura e recomendada:
Após ativar< EPA na IU, o ficheiro Web.config criado pela função CES em <%windir%>\systemdata\CES\< Nome da AC>_CES_Kerberos\web.configtambém deverá ser atualizado ao adicionar <extendedProtectionPolicy> com um valor como WhenSupported ou Always dependendo da opção de Proteção Prolongada selecionada na IIS UI acima.Nota: A definição Sempre é utilizada quando a IU está definida para Obrigatório,que é a opção recomendada e mais segura.
Para obter mais informações sobre as opções disponíveis para a extendedProtectionPolicy,consulte<transport> of <basicHttpBinding>. As definições utilizadas mais provavelmente são as seguintes:
<binding name="TransportWithHeaderClientAuth"> <security mode="Transport"> <transport clientCredentialType="Windows"> <extendedProtectionPolicy policyEnforcement="Always" /> </transport> <message clientCredentialType="None" establishSecurityContext="false" negotiateServiceCredential="false" /> </security> <readerQuotas maxStringContentLength="131072" /> </binding>
-
Ative a ferramenta Exigir SSL,que irá ativar apenas as ligações HTTPS.
Importante: Após concluir os passos acima, terá de reiniciar o IIS para carregar as alterações. Para reiniciar o IIS, abra uma janela elevada da Lista de Comandos, escreva o seguinte comando e, em seguida, prima Enter:
iisreset /reiniciar Nota Este comando interrompe todos os serviços IIS que estão a ser executados e, em seguida, reinicia-os.Mitigação adicional
Para além das mitigações principais, recomendamos que desativar a autenticação NTLM sempre que possível. As seguintes mitigações são listadas por ordem, de mais segura para menos segura:
-
Desativar a Autenticação NTLM no Windows de domínio da sua conta. Isto pode ser feito ao seguir a documentação em Segurança de rede: Restringir a autenticação NTLM: NTLM neste domínio.
-
Desativar o NTLM em qualquer Servidor AD CS Server no seu domínio através da política de grupo Segurança de rede: Restringir NTLM: Tráfego NTLM de entrada. Para configurar este GPO, abra a Política de Grupo e vá para Configuração do Computador -> Windows Definições -> Security Definições -> Local Policies -> Security Options e defina a Segurança de rede: Restringir o tráfego NTLM: Tráfego NTLM de Entrada para Negar Todas as Contas ou NegarTodas as contas de domínio . Se for necessário, pode adicionar exceções conforme necessário através da definição Segurança de rede: Restringir NTLM:Adicionar exceções ao servidor neste domínio.
-
Desativar o NTLM para Serviços de Informação Internet (IIS) nos Servidores AD CS no seu domínio a executar os serviços "Registo Web de Autoridade de Certificado" ou "Serviço Web de Inscrição de Certificados".
Para o fazer, abra a II do Gestor do IIS, defina Windows autenticação para Negociação:Kerberos:
Importante: Após concluir os passos acima, terá de reiniciar o IIS para carregar as alterações. Para reiniciar o IIS, abra uma janela elevada da Lista de Comandos, escreva o seguinte comando e, em seguida, prima Enter:
iisreset /reiniciar Nota Este comando interrompe todos os serviços IIS que estão a ser executados e, em seguida, reinicia-os.Para obter mais informações, consulte o Aviso de Segurança da Microsoft ADV210003