概要

「PetitPotam」とは、フランスのセキュリティ研究者 Gilles Lionel (topotam) 氏によって公開された、 MS-EFSRPC を利用して Windows ホスト (Active Directory ドメインコントローラを含む) に特定のサーバへの NTLM 認証の試行を強制する手法です。 この手法と Active Directory 証明書サービス (以下、AD CS とします) に存在する NTLM リレー攻撃を許す問題を組み合わせることで、ドメインコントローラの管理者権限を奪われる可能性があります。

マイクロソフト社は 2021 年 08 月のセキュリティ更新プログラムにおいて、LSARPC インタフェース経由での NTLM 認証の強制をブロックする修正プログラムを提供しました。 ただこの修正は不十分との指摘があります。 マイクロソフト社は、修正プログラムの適用に加え、NTLM リレー攻撃の緩和策が必要と述べています。 (2021年8月24日 追加)

既にランサムウェア集団「LockFile」による悪用が報告されています。 (2021年8月24日 追加)

以下は、SIDfm RA 脆弱性管理ツールでの当該脆弱性情報の画面を表示したものです。

背景

NTLM 認証と NTLM リレー攻撃

NTLM（NT LAN Manager）認証 とは、主に企業内の Windows 環境で利用されるチャレンジ・レスポンス方式の認証です。 現在では脆弱とされる暗号アルゴリズムやハッシュ関数を利用するため、できるだけ使用しないように勧められていますが、古い Windows との互換性維持のために現在も有効とされていることが多いです。 NTLM 認証には、Extended Protection for Authentication (EPA) などの対策を施さない場合、認証を試行するクライアントとサーバの中間に居る攻撃者に通信を中継されることで、クライアントになりすまされる問題 (NTLM リレー攻撃を受ける問題) があります。

Active Directory 証明書サービスへの NTLM リレー攻撃

PetitPotam が公開される以前に Will Schroeder 氏 と Lee Christensen 氏は、 Certified Pre-Owned と題したホワイトペーパーの中で、AD CS の HTTP エンドポイントへの NTLM リレー攻撃を紹介しました。

そのホワイトペーパーによれば、 「(証明書) Web 登録インタフェースはデフォルトで HTTP のみサポートされており、NTLM リレー攻撃に対し保護されていない。 加えて、Authorization HTTP ヘッダ経由での NTLM 認証しか明示的に許可されておらず、Kerberos のようなよりセキュアなプロトコルを使用できない」 とされています。 また「攻撃者は NTLM リレーを用いて AD CS Web インタフェースへアクセスすることで、標的アカウントのクライアント認証証明書をリクエストできる」とも述べられています。 被害者のアカウントのクライアント証明書を取得できれば、証明書の有効期間内はそのアカウントとして振る舞うことができる上に、アカウントのパスワード変更などの影響も受けないため、攻撃者に好都合です。

NTLM 認証の試行の強制について

ただしどんな場合でも、NTLM リレー攻撃を成立させるにはクライアントによる NTLM 認証の試行が必要です。 標的アカウントが自ら NTLM 認証を行うタイミングを狙って NTLM リレー攻撃を行うことも可能ですが、有用な特権アカウント、特にドメインの管理者権限を持つようなアカウントの認証試行は、そう都合良く頻繁に行われるものではありません。 このため、攻撃者が能動的に NTLM リレー攻撃を行いたいのであれば、何らかの方法で標的アカウントに NTLM 認証の試行を強制させなければなりません。

先程のホワイトペーパーの中で Lee Christensen 氏は MS-RPRN の悪用に着目しています。しかしながら既に多くの組織で MS-RPRN は無効化されており、攻撃経路として有用でないと考えられています。

PetitPotam

PetitPotam は、NTLM 認証の試行を強制するにあたり、 MS-EFSRPC (Encrypting File System Remote Protocol) を利用します。 MS-EFSRPC は、リモートに保存されネットワーク経由でアクセスを行う暗号化データの維持管理を行うプロトコルです。 MS-EFSRPC の EfsRpcOpenFileRaw 関数を使用されることで、ドメインコントローラを含む Windows ホストが、攻撃者に指定された宛先に対する NTLM 認証の試行を強制されます。

NTLM 認証の試行を強制後、攻撃者は自身の制御下にあるホスト宛の NTLM 認証を AD CS の 「証明書登録 Web サービス (Certificate Enrollment Web Service)」や 「認証局 Web 登録(Certificate Authority Web Enrollment)」のインタフェースへ中継することで NTLM リレー攻撃を実施し、 Windows ホストのユーザあるいはマシンアカウントとして認証のためのクライアント証明書を資格情報無しに発行できます。

標的アカウントがドメインコントローラの管理者であれば、ドメインコントローラの管理者としてクライアント証明書を発行されることになり、ドメインの制御を完全に奪われることになります。

影響を受ける環境

マイクロソフト社の アドバイザリ では、AD CS で次のいずれかを使用している場合に影響を受ける可能性があるとされています。

• 証明書登録 Web サービス (Certificate Authority Web Enrollment)
• 認証局 Web 登録 (Certificate Enrollment Web Service)

影響を受ける Windows のバージョンは以下のとおりです。

• Windows Server, version 20H2 (Server Core インストール オプション)
• Windows Server, version 2004 (Server Core インストール オプション)
• Windows Server 2019 (Server Core インストール オプション)
• Windows Server 2019
• Windows Server 2016 (Server Core インストール オプション)
• Windows Server 2016
• Windows Server 2012 R2 (Server Core インストール オプション)
• Windows Server 2012 R2
• Windows Server 2012 (Server Core インストール オプション)
• Windows Server 2012
• Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール オプション)
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール オプション)
• Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core インストール オプション)
• Windows Server 2008 R2 for x64-based Systems Service Pack 1

対策

修正プログラム

LSARPC インタフェース経由での NTLM 認証の強制 (CVE-2021-36942 ) をブロックする修正プログラムが、マイクロソフト社の2021年8月のセキュリティ更新プログラムを通じて提供されています。

Gilles Lionel 氏の公開したツールは EfsRpcOpenFileRaw 関数の呼出しに LSARPC インタフェースを使用しており、今回のマイクロソフト社の修正はこの経路の攻撃の阻止を意図したものと考えられます。 しかしながら CERT/CC は「この更新をインストールした後でも EfsRpcOpenFileRaw へアクセスするための EFSRPC インタフェースへ認証されたユーザが到達可能であることを留意してください。」と述べています。 また Gilles Lionel 氏は「不完全な修正」と言及しています。

マイクロソフト社は CVE-2021-36942 の「よく寄せられる質問」の中で、 修正プログラムの適用後にも NTLM リレー攻撃を阻止するための緩和策が必要としています。

(2021年8月17日 更新)

緩和策

マイクロソフト社は NTLM リレー攻撃の阻止を主眼に置いた対策を推奨しています。

• [基本的な緩和策]
  AD CS サーバで HTTP を無効化すると共に Extended Protection for Authentication (EPA) を有効にしてください。

• [追加の緩和策]
  基本的な緩和策に加え、以下の中から可能な箇所で NTLM 認証を無効化してください。 なおこれらのリストは、安全性の高い方法から低い方法に並んでいます。

  • Windows ドメインコントローラの NTLM 認証
  • AD CS サーバの NTLM 認証
  • 「証明書登録 Web サービス (Certificate Authority Web Enrollment)」 あるいは 「認証局 Web 登録 (Certificate Enrollment Web Service)」 サービスを実行している AD CS サーバの IIS の NTLM 認証

方法の詳細については KB5005413 を参照してください。

確認されている悪用事例

LockFile による悪用

シマンテックは報告 の中で 「LockFile」と呼ばれるランサムウェア集団が PetitPotam を悪用していると述べています。 この報告によれば「LockFile」は

1. Microsoft Exchange サーバの「ProxyShell」と呼ばれる脆弱性を悪用して組織内に足掛かりを構築し
2. PetitPotam と NTLM リレー攻撃を組み合わせて Active Directory ドメインコントローラの制御を奪い
3. 侵害した Active Directory ドメインコントローラ経由でランサムウェアを拡散する

といった手順を踏むようです。 PetitPotam の攻撃コードは「EfsPotato からコピーされたように見える」とのことです。

「LockFile」が最初に観測されたのは米国の金融機関のネットワークでしたが、米国やアジアを中心に世界中の組織が標的となっているようです。

(2021年8月24日 追加)

更新履歴

• 2021年08月02日

  • 新規公開

• 2021年08月17日

  • マイクロソフト社の 2021 年 08 月のセキュリティ更新プログラムの提供に伴い「対策」を更新しました。

• 2021年08月24日

  • 「概要」に修正プログラムと悪用に関する記述を追加しました。
  • 「確認されている悪用事例」を追加しました。

参照

1. topotam, "PetitPotam," Github topotam's repositories, June 29, 2021.
2. "Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS) ADV210003," Microsoft Security Update Guide, July 23, 2021.
3. Catalin Cimpanu, "New PetitPotam attack forces Windows servers to authenticate with an attacker," The Record., July 23, 2021.
4. "KB5005413: Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)," Microsoft Support, July 23, 2021.
5. Lawrence Abrams, "New PetitPotam attack allows take over of Windows domains," BleepingComputer, July 23, 2021.
6. Ionut Ilascu, "Microsoft shares mitigations for new PetitPotam NTLM relay attack," BleepingComputer, July 24, 2021.
7. Will Schroeder, "Certified Pre-Owned," SpecterOps Posts, June 19, 2021.
8. Will Schroeder, Lee Christensen, "Certified Pre-Owned," SpecterOps, June 17, 2021.
9. "Windows LSA Spoofing Vulnerability," Microsoft Security Update Guide, Aug 10, 2021.
10. CERT Coordination Center, "Microsoft Windows Active Directory Certificate Services can allow for AD compromise via PetitPotam NTLM relay attacks," CERT/CC Vulnerability Notes Database, Aug 2, 2021.
11. Threat Hunter Team, "LockFile: Ransomware Uses PetitPotam Exploit to Compromise Windows Domain Controllers," Symantec Enterprise Blogs, Aug 21, 2021.