PetitPotam: un attacco a Windows Server senza una reale soluzione

Redazione di Hardware Upg · 30-07-2021, 14:11

Link alla notizia: https://edge9.hwupgrade.it/news/secu...one_99556.html

PetitPotam è un nuovo attacco a Windows Server che permette potenzialmente di ottenere il controllo di una rete aziendale. Un problema che Microsoft sembra al momento non essere intenzionata a risolvere definitivamente

Click sul link per visualizzare la notizia.

cocky · 30-07-2021, 15:10

Tradotto per un comuni mortali?

igiolo · 30-07-2021, 15:31

Quote:

Originariamente inviato da cocky

Tradotto per un comuni mortali?

se hanno accesso ad una macchina in dominio, in un batter d'occhio fanno escalation dei privilegi
quindi un utente qualsiasi che prende un virus, diventa administrator in 1 secondo

Axios2006 · 30-07-2021, 15:44

Quote:

Windows Server, nelle versioni da WS 2008 in poi, usa una configurazione predefinita che espone il sistema agli attacchi.

Microsoft sembra non avere intenzione di risolvere il problema

2008 - 2021 e non vogliono correggere... MS sempre in prima linea per la sicurezza.

sbaffo · 30-07-2021, 16:01

ma non bastava usare intel vPro e TPM vari per essere sicuri, come dice lo spottone pubblicato oggi?

Cfranco · 30-07-2021, 19:09

Quote:

Originariamente inviato da Axios2006

2008 - 2021 e non vogliono correggere... MS sempre in prima linea per la sicurezza.

Non è che non vogliono, il problema è che non possono
L' attacco non usa nessun bug, è NTLM che è bacato dalle fondamenta, è roba introdotta con Windows NT 4 e come crittografia usa ancora MD5 che ha più buchi di una forma di Emmenthal, è un protocollo che è stato criticato fin dall'inizio per essere troppo debole, ed è ufficialmente deprecato dal 2010, è ora di buttarlo nel secchione dell'umido perché la data di scadenza è passata da parecchio

zappy · 30-07-2021, 20:14

Quote:

Originariamente inviato da cocky

Tradotto per un comuni mortali?

che la roba ms è meglio lasciarla sullo scaffale.

zappy · 30-07-2021, 20:16

Quote:

Originariamente inviato da Cfranco

Non è che non vogliono, il problema è che non possono
L' attacco non usa nessun bug, è NTLM che è bacato dalle fondamenta, è roba introdotta con Windows NT 4 e come crittografia usa ancora MD5 che ha più buchi di una forma di Emmenthal, è un protocollo che è stato criticato fin dall'inizio per essere troppo debole, ed è ufficialmente deprecato dal 2010, è ora di buttarlo nel secchione dell'umido perché la data di scadenza è passata da parecchio

e poi sfracassano la mi#chi@ con la presunta sicurezza di win10 (aggiornate, presto, win7 è pericoloso!) e con il TPM obbligatorio per win11 (per presunte motivazioni di sicurezza)...

sfacciati proprio.

sbaffo · 30-07-2021, 23:13

Quote:

Originariamente inviato da Cfranco

Non è che non vogliono, il problema è che non possono
L' attacco non usa nessun bug, è NTLM che è bacato dalle fondamenta, è roba introdotta con Windows NT 4 e come crittografia usa ancora MD5 che ha più buchi di una forma di Emmenthal, è un protocollo che è stato criticato fin dall'inizio per essere troppo debole, ed è ufficialmente deprecato dal 2010, è ora di buttarlo nel secchione dell'umido perché la data di scadenza è passata da parecchio

allora perché è ancora in giro anche nelle versioni successive di WinServer, e attivo di default (a quanto ho capito)?

lollo9 · 31-07-2021, 09:20

è presente ormai come poco più di una cortesia per la compatibilità con i vecchi server di dominio e per chi gestisce reti a workgroup invece che a dominio.
bene avrebbero fatto a toglierlo già su WinServer 2012.

ad onor del vero sono almeno 10 anni che MS raccomanda modi differenti di operare sui domini, che sono tipo il 99.9% delle reti business.
per di più, servizi che si appoggino su NTLM sono servizi che nessun IT con un minimo di rispetto per il proprio lavoro fa entrare o restare in azienda da almeno 10 anni.

il dispatch di Kerberos, LDAP o qualunque altra forma di directory ed user pool dev’essere firmato, si lascia una chiave pubblica ed amen. non si può parlare di “impatto sulle prestazioni”, non è il modo di vedere il problema: ci sono modi corretti, ad oggi sicuri e con ampia letteratura di far le cose, e poi ci sono le scorciatoie di miocuggino tipo NTLM (btw, se l’impatto è più di uno zerovirgolaniente è perche come al solito qualcuno vuol far le nozze coi fichi secchi)

I dispatchers pubblichino firmato e non serve altro, a parte aggiornare il transport di tanto in tanto o se saltano fuori debolezze degli algoritmi che generano le chiavi.

igiolo · 31-07-2021, 09:25

Quote:

Originariamente inviato da Cfranco

Non è che non vogliono, il problema è che non possono
L' attacco non usa nessun bug, è NTLM che è bacato dalle fondamenta, è roba introdotta con Windows NT 4 e come crittografia usa ancora MD5 che ha più buchi di una forma di Emmenthal, è un protocollo che è stato criticato fin dall'inizio per essere troppo debole, ed è ufficialmente deprecato dal 2010, è ora di buttarlo nel secchione dell'umido perché la data di scadenza è passata da parecchio

kerberos per tutti!

Andreainside · 31-07-2021, 13:35

Ma l'exploit usa l'NTLM liscio o anche l'NTLMv2?

Perchè non riesco a capire chi possa ancora avere un DC impostato in maniera diversa da "Send NTLMv2 responses only. Refuse LM & NTLM", anche la scusa di avere sistemi legacy non so fino a che punto possa essere vera, dato che con opportuna configurazione risulta compatibile anche con client Win95.

igiolo · 02-08-2021, 09:29

Quote:

Originariamente inviato da Andreainside

Ma l'exploit usa l'NTLM liscio o anche l'NTLMv2?

Perchè non riesco a capire chi possa ancora avere un DC impostato in maniera diversa da "Send NTLMv2 responses only. Refuse LM & NTLM", anche la scusa di avere sistemi legacy non so fino a che punto possa essere vera, dato che con opportuna configurazione risulta compatibile anche con client Win95.

entrambe le versioni di NTLM sono vulnerabili

destroyer85 · 02-08-2021, 17:57

Quote:

Originariamente inviato da Cfranco

Non è che non vogliono, il problema è che non possono
L' attacco non usa nessun bug, è NTLM che è bacato dalle fondamenta, è roba introdotta con Windows NT 4 e come crittografia usa ancora MD5 che ha più buchi di una forma di Emmenthal, è un protocollo che è stato criticato fin dall'inizio per essere troppo debole, ed è ufficialmente deprecato dal 2010, è ora di buttarlo nel secchione dell'umido perché la data di scadenza è passata da parecchio

Sembri uno che sa il fatto suo ma...
Poi scrivi che l'MD5 è una crittografia "che ha più buchi di una forma di Emmenthal" e si capisce che stai sparando parole a caso senza capire di cosa si stia parlando.
L'MD5 è un algoritmo di hashing che, tradotto in termini comprensibili, di ogni file genera un'impronta che è una ed unica. Come può un algoritmo di hashing "più buchi di una forma di Emmenthal" non è dato sapersi.
L'MD5 è deprecato perché nel frattempo sono usciti altri algoritmi più efficienti e con meno possibilità di collisioni.
Il fatto che online ci siano database con migliardi di combinazioni MD5 non lo rende meno sicuro perché la stessa cosa si può sicuramente applicare agli algoritmi SHA.

igiolo · 03-08-2021, 08:42

Quote:

Originariamente inviato da destroyer85

Sembri uno che sa il fatto suo ma...
Poi scrivi che l'MD5 è una crittografia "che ha più buchi di una forma di Emmenthal" e si capisce che stai sparando parole a caso senza capire di cosa si stia parlando.
L'MD5 è un algoritmo di hashing che, tradotto in termini comprensibili, di ogni file genera un'impronta che è una ed unica. Come può un algoritmo di hashing "più buchi di una forma di Emmenthal" non è dato sapersi.
L'MD5 è deprecato perché nel frattempo sono usciti altri algoritmi più efficienti e con meno possibilità di collisioni.
Il fatto che online ci siano database con migliardi di combinazioni MD5 non lo rende meno sicuro perché la stessa cosa si può sicuramente applicare agli algoritmi SHA.

credo si riferisse al DES forse
ci sono cmq dei fix, dall'attivare l'EPA al disabilitare l'NTLM in toto, come descritto dalla KB
certo non sono molto comodi o easy

barzokk · 03-08-2021, 09:12

Quote:

Originariamente inviato da igiolo

credo si riferisse al DES forse
ci sono cmq dei fix, dall'attivare l'EPA al disabilitare l'NTLM in toto, come descritto dalla KB
certo non sono molto comodi o easy

Ma voi l'avete capito se riguarda anche SMB su Linux ?

Ho googlato ma non ho trovato nulla e... non ho voglia di studiarmi SMB, sono pigro

Cfranco · 03-08-2021, 09:28

Quote:

Originariamente inviato da destroyer85

L'MD5 è un algoritmo di hashing che, tradotto in termini comprensibili, di ogni file genera un'impronta che è una ed unica. Come può un algoritmo di hashing "più buchi di una forma di Emmenthal" non è dato sapersi.

Il problema è proprio quella, l' impronta MD5 non è una e unica

https://en.wikipedia.org/wiki/MD5#Co...ulnerabilities
Si sa dal 1996 che MD5 non è in grado di garantire l' unicità dell' hash

30-07-2021, 16:01	#5
sbaffo Senior Member Iscritto dal: Feb 2005 Città: MI Messaggi: 7892	ma non bastava usare intel vPro e TPM vari per essere sicuri, come dice lo spottone pubblicato oggi? __________________ intel Q9550, nvidia gtx950 2GB, ram 4GB. Ipad Air 4. \\ DUKE é vivo: eduke32 - High Res - roch - DNF 2013 - ports Santa Opera di Pulizia del forum: -bannati: Chelidon, Diemberger(aka Svelgen/Vuiton/...Lexan?), hereiam, Volpesalva, Alpha4,... -sospesi: Toretto x4, Rello75cl, destroyer85, Zocchi X2, Informative x2, Zappy, LL1,... GomblottoH e FakeH : 1 e 2. BOOOM e KABOOM . "i peggiori nemici delle EV sono (certi) EVvari" (semi-cit.)

30-07-2021, 14:11	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75173	Link alla notizia: https://edge9.hwupgrade.it/news/secu...one_99556.html PetitPotam è un nuovo attacco a Windows Server che permette potenzialmente di ottenere il controllo di una rete aziendale. Un problema che Microsoft sembra al momento non essere intenzionata a risolvere definitivamente Click sul link per visualizzare la notizia.

30-07-2021, 15:10	#2
cocky Member Iscritto dal: Jun 2004 Messaggi: 143	Tradotto per un comuni mortali?

31-07-2021, 09:20	#10
lollo9 Member Iscritto dal: Dec 2016 Città: Toulouse/Montpellier/Melbourne Messaggi: 283	è presente ormai come poco più di una cortesia per la compatibilità con i vecchi server di dominio e per chi gestisce reti a workgroup invece che a dominio. bene avrebbero fatto a toglierlo già su WinServer 2012. ad onor del vero sono almeno 10 anni che MS raccomanda modi differenti di operare sui domini, che sono tipo il 99.9% delle reti business. per di più, servizi che si appoggino su NTLM sono servizi che nessun IT con un minimo di rispetto per il proprio lavoro fa entrare o restare in azienda da almeno 10 anni. il dispatch di Kerberos, LDAP o qualunque altra forma di directory ed user pool dev’essere firmato, si lascia una chiave pubblica ed amen. non si può parlare di “impatto sulle prestazioni”, non è il modo di vedere il problema: ci sono modi corretti, ad oggi sicuri e con ampia letteratura di far le cose, e poi ci sono le scorciatoie di miocuggino tipo NTLM (btw, se l’impatto è più di uno zerovirgolaniente è perche come al solito qualcuno vuol far le nozze coi fichi secchi) I dispatchers pubblichino firmato e non serve altro, a parte aggiornare il transport di tanto in tanto o se saltano fuori debolezze degli algoritmi che generano le chiavi.

31-07-2021, 13:35	#12
Andreainside Senior Member Iscritto dal: Nov 2008 Città: Trieste Messaggi: 1207	Ma l'exploit usa l'NTLM liscio o anche l'NTLMv2? Perchè non riesco a capire chi possa ancora avere un DC impostato in maniera diversa da "Send NTLMv2 responses only. Refuse LM & NTLM", anche la scusa di avere sistemi legacy non so fino a che punto possa essere vera, dato che con opportuna configurazione risulta compatibile anche con client Win95.

Strumenti
Mostra una versione stampabile Invia questa pagina per email