La faille de sécurité, connue sous le nom de PetitPotam, permet le vol d’identifiants sur les serveurs Windows.
Voici le risque lié à cette attaque :
Toutes les machines qui exécutent les services de certificats Active Directory (AD CS) ou les contrôleurs de domaine sont vulnérables à cette attaque.
Vous pouvez exécuter dans une console administrateur PowerShell « Get-WindowsFeature adcs-web-enrollment » pour déterminer si la fonctionnalité est installée sur vos hôtes.
Cela rend la vulnérabilité assez dangereuse – plus dangereuse que la vulnérabilité de la base de données SAM récemment signalée.
Microsoft recommande les étapes suivantes :
Pour empêcher les attaques par relais NTLM sur les réseaux sur lesquels NTLM est activé, les administrateurs de domaine doivent s’assurer que les services qui autorisent l’authentification NTLM utilisent des protections telles que la protection étendue pour l’authentification (EPA) ou des fonctionnalités de signature telles que la signature SMB.
PetitPotam tire parti des serveurs où les services de certificats Active Directory (AD CS) ne sont pas configurés avec des protections contre les attaques par relais NTLM.
Les mesures d’atténuation pour protéger les serveurs AD CS contre de telles attaques sont décrites dans l’article suivant : KB5005413 .
Liste des O.S . impactés :
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2019 (Server Core installation)
Pour plus de détails ici.