Inicio / Content / Boletín de INCIBE-CERT del 27-07-2021

Boletín de INCIBE-CERT del 27-07-2021

Windows Server, vulnerable a ataque de retransmisión NTLM

Fecha de publicación: 
27/07/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • Windows Server 2012,
  • Windows Server 2008,
  • Windows Server 2016,
  • Windows Server 20H2,
  • Windows Server 2004,
  • Windows Server 2019.
Descripción: 

El investigador Gilles Lionel ha reportado una vulnerabilidad, de severidad crítica y denominada PetitPotam, que podría permitir a un atacante remoto acceder a información de autenticación NTLM u otros certificados de autenticación, y tomar el control de los equipos de una red.

Existe una prueba de concepto (PoC) pública para esta vulnerabilidad.

Solución: 

Por el momento no existe un parche de seguridad, por lo que Microsoft recomienda tomar una de las siguientes medidas de mitigación:

  • Desactivar la autenticación NTLM en el controlador de dominio de Windows siguiendo las indicaciones de la guía “Network security: Restrict NTLM: NTLM authentication in this domain”.
  • En caso de no poder implementar la anterior solución, se recomienda:
    • Desactivar NTLM en cualquier servidor AD CS mediante políticas de grupo y siguiendo las indicaciones de la guía “Network security: Restrict NTLM: Incoming NTLM traffic”.
    • Desactivar NTLM para Internet Information Services (SII) en los servidores AD CS que ejecutan los servicios “Inscripción web de la autoridad de certificación” o “Servicio web de inscripción de certificados”.
    • Habilitar la función de protección extendida para la autenticación (EPA) en los servidores AD CS si NTLM no puede ser desactivado totalmente.
Detalle: 

Una vulnerabilidad en el sistema operativo de Windows podría permitir a un atacante remoto desarrollar un ataque de retransmisión NTLM, mediante el abuso del protocolo MS-EFSRPC, para recopilar información de autenticación NTLM u otros certificados de autenticación y así, acceder y tomar el control de los equipos de una red.

Encuesta valoración