PetitPotam – el ataque que permite tomar el control de los dominios de Windows
Investigadores han descubierto un nuevo ataque de retransmisión (relay) NTLM llamado PetitPotam. Este ataque permite a los actores de amenazas tomar el control de un controlador de dominio y, por lo tanto, de todo un dominio de Windows.
Muchas organizaciones utilizan Microsoft Active Directory Certificate Services, que es un servidor de infraestructura de clave pública (PKI). Este servidor se puede utilizar para autenticar usuarios, servicios y máquinas en un dominio de Windows.
Anteriormente, los investigadores descubrieron un método para obligar a un controlador de dominio a autenticarse contra un relé NTLM malicioso. Este luego reenviaba la solicitud a los servicios de certificados de Active Directory de un dominio a través de HTTP.
En última instancia, al atacante se le otorgaría una concesión de Kerberos que le permitiría asumir la identidad de cualquier dispositivo en la red, incluido un controlador de dominio.