-
@ unknownevolution7
2025-04-29 18:07:43
https://image.nostr.build/4359a4b265fb5f6ce03eada37095a83573e03de8eb8b75631c94717358a46a23.png PetitPotam é uma ferramenta de prova de conceito criada pelo pesquisador Topotam que explora uma falha no protocolo Encrypting File System Remote (MS-EFSRPC) para forçar um controlador de domínio Windows a autenticar-se em um servidor sob o controle do invasor, sem exigir credenciais ou interação do usuário . Ao abusar de chamadas RPC via pipes LSARPC (identificados pelo UUID c681d488-d850-11d0-8c52-00c04fd90f7e), a ferramenta induz requisições NTLM automáticas, criando um canal para interceptação de hashes que podem ser retransmitidos a outros serviços vulneráveis . Em um cenário típico de ataque, esses hashes são posteriormente reléados para o serviço de inscrição de certificados do Active Directory (AD CS) por meio do script ntlmrelayx da suíte Impacket, permitindo a emissão de um certificado de controlador de domínio e a extração de um Ticket Granting Ticket (TGT), o que possibilita escalonamento imediato para privilégios de administrador de domínio . Essa combinação de PetitPotam e ADCS, descrita como “The Ultimate Tag Team” pela Sprocket Security, tem se mostrado capaz de comprometer domínios inteiros em questão de minutos, demonstrando a gravidade de uma configuração padrão sem proteções adicionais . Para mitigar o risco, a Microsoft recomenda habilitar recursos de proteção estendida para autenticação (EPA) e assinatura de canais, além de revisar a política “Network security: Restrict NTLM: Incoming NTLM traffic” em seus servidores de certificação . Ferramentas de detecção baseadas em Zeek e soluções de monitoramento de rede, como os scripts de detecção de PetitPotam, podem identificar chamadas EFSRPC suspeitas por meio de análises de respostas a DCE-RPC, permitindo a resposta rápida antes que o exploit seja bem-sucedido . PetitPotam alcançou rápida adoção em comunidades de Red Team e segurança ofensiva devido à sua simplicidade de uso e eficácia, com implementações em Python e C++, ampla documentação e contribuições de desenvolvedores que aprimoram métodos adicionais de coerção . Com o surgimento de variações e ferramentas complementares como Certify e ForgeCert, PetitPotam consolidou-se como um dos principais vetores de exploração de autenticação em ambientes Windows, lembrando a importância de manter infraestruturas atualizadas e configuradas com as melhores práticas de segurança .