NTLM-Relay-Angriff auf Domänencontroller

Der PetitPotam-Angriff erlaubt die Übernahme einer Windows Domäne. Die Schwachstellen sind die Microsoft Active Directory Certificate Services (AD-CS) unter Verwendung der NTLM-Authentifizierung.

Petit-Potam Workaround:

Generelles zu NTLM-Relay-Angriffen:
Microsoft Security Advisory 974926

NTLM-Relay-Angriff auf AD CS:
https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

Proof of Concept:
https://github.com/topotam/PetitPotam

Workaround:
https://support.microsoft.com/de-de/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

Mögliche Lösung:

PetitPotam-Angriffe mit NETSH-Filtern blockieren.

Mitigation:

If your environment is vulnerable to this attack, we recommend one of the following mitigations:

Preferred mitigation: we recommend you disable NTLM authentication on your Windows domain controller as the simplest mitigation. This can be accomplished by following the documentation in Network security: Restrict NTLM: NTLM authentication in this domain.

Other Mitigations: If you are unable to disable NTLM on your domain for compatibility reasons, you can do one of the following. They are listed in order of more secure to less secure:

Disable NTLM on any AD CS Servers in your domain using the group policy Network security: Restrict NTLM: Incoming NTLM traffic. To configure this GPO, open Group Policy and go to Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options and set “Network security: Restrict NTLM: Incoming NTLM traffic” to “Deny All Accounts” or “Deny All domain accounts”. If needed you can add exceptions as necessary using the setting “Network security: Restrict NTLM: Add server exceptions in this domain.”
Disable NTLM for Internet Information Services (IIS) on AD CS Servers in your domain running the “Certificate Authority Web Enrollment” or “Certificate Enrollment Web Service” services.

Petit-Potam Workaround

NTLM lässt sich nicht einfach so abschalten. Ohne Konzept, ohne Gespräche mit den Applikations- und Systemverantwortlichen, keine Chance. Sobald schon die NLA (Network Level Authentication) für RDP (Remote Desktop) eingesetzt wird, müssen weitere Anpassungen an den RDP-Hardening-Richtlinien getroffen werden.

Other Mitigation wird wohl eher von den meisten Admins präferiert:

Zuerst erstellt man eine GPO mit folgenden Einstellungen, und verlinkt diese im Anschluß auf Servern mit der installierten Rolle AD CS und den gehosteten Diensten:

Certificate Authority Web Enrollment
Certificate Enrollment Web Service

Danach stellt man die NTLM-Authentifizierung der Webservices auf Kerberos um.

Öffnet den IIS, navigiert zum entsprechenden Service und aktiviert wie auf dem Bild zu sehen ist, den erweiterten Schutz und deaktiviert den Kernel-Modus. Im Zuge dessen muss auch die anonyme Authentifizierung deaktiviert werden. Lediglich die Windows-Authentifizierung sollte aktiv sein.

Dann stellt man den Authentifizierungsanbieter von NTLM/Kerberos auf Negotiate:Kerberos um.

Gefolgt von einem IIS-Neustart. Sobald die Umstellung auf Kerberos erfolgte, sollte noch geprüft werden, ob die Services vorher per CNAME erreichbar waren, wenn ja, dann muss jetzt noch ein SPN (Service Principal Name) für den CNAME gesetzt werden. NTLM fordert keinen SPN, Kerberos benötigt ihn aber!

Alternative zur Webregistrierung

Zur Steigerung der Sicherheit sollten die Webservices, sofern möglich, deinstalliert werden. Die Zertifizierungsstellen-Webregistrierung ist mittlerweile 18 Jahre alt und sollte nicht mehr eingesetzt werden. Microsoft hat den Code seitdem nicht weiterentwickelt!

Zertifikate können alternativ von jedem System per Powershell, sofern die Netzwerkfreischaltungen umgesetzt sind, beantragt werden. Selbstverständlich geht das auch über die Management-Console.

SMB Server Packet Signing

Eine weitere Empfehlung, welche aber bereits Standard sein sollte, ist die Aktivierung von SMB-Signing. Auf Domänencontrollern ist das SMB-Signing standardmäßig aktiviert, jedoch sollte man das SMB-Signing auch auf den Member-Servern/Clients aktivieren.

Server Block Message (SMB) ist ein Protokoll, das für die Datei- und Druckkommunikation innerhalb eines Microsoft-basierten Netzwerks verwendet wird. Wenn keine SMB-Signierung verwendent wird, besteht die Gefahr, dass der SMB-Datenverkehr Man-in-the-Middle Angriffen ausgesetzt ist. Das bedeutet, dass ein interner Angreifer im Wesentlichen alle Freigabesitzungen stehlen kann, die im lokalen Netzwerk aktiv sind.

Optional RDP-NLA:

Wer NTLM komplett deaktivieren möchte, der achtet z.B. bitte auch auf die RDP-Hardening-Richtlinie im Unternehmen. In den meisten Richtlinien ist NLA (Network Level Authentication) aktiviert. NLA soll dabei helfen die RDP-basierten Angriffe auf das System zu reduzieren. Ein wichtiges Feature aber auch ständig unter Beschuss.

Durch den Einsatz von NLA können nur noch authentifizierte Benutzer eine Sitzung aufbauen.

Wer NTLM in der Domäne komplett deaktivieren möchte der muss auch NLA deaktivieren, zumindest ist in meinem Umgebungen so. Wenn jemand eine Idee hat, NLA nicht deaktivieren zu müssen, hätte ich gerne davon gewusst. Danke!

Wenn NLA (Network Level Authentication das Synonym für CredSSP) nicht deaktiviert wird, erscheint diese uns bekannte CredSSP encryption oracle remediation Fehlermeldung. NLA sollte aber nicht deaktivert werden müssen, weil es den Benutzer vor der Anmeldung an den Remote-Computer authentifiziert. Das ist ein wichtiges Feauture zur Minderung von Angriffen via RDP.

Authentifizierungsfehler
Die angeforderte Funktion wird nicht unterstützt.
Remotecomputer: COMPUTERNAME
Ursache könnte eine CredSSP Encryption Oracle Remediation sein.
Weitere Informationen findet Sie unter https://go.microsoft.com/fwlink/?=linkid=866660