<div dir="ltr"><div dir="ltr"><div dir="ltr"><a href="https://www.hackread.com/microsoft-petitpotam-attack-taking-over-windows-domains/">https://www.hackread.com/microsoft-petitpotam-attack-taking-over-windows-domains/</a><br></div><div dir="ltr"><br></div><div dir="ltr"><div dir="ltr">Microsoft has released an advisory on the newly identified Windows security flaw that allows attackers to take complete control of a Windows domain.</div><div dir="ltr"><br></div><div dir="ltr">Experts revealed that the vulnerability, dubbed PetitPotam, forces remote Windows servers such as Domain Controllers to validate a malicious destination. This allows attackers to launch a Windows NT LAN Manager relay attack.</div><div dir="ltr"><br></div><div dir="ltr">“PetitPotam is a classic NTLM Relay Attack, and such attacks have been previously documented by Microsoft along with numerous mitigation options to protect customers,” Microsoft’s advisory reads.<br></div><div dir="ltr"><br></div><div dir="ltr">PetitPotam Coerces Windows Hosts to Authenticate Devices</div><div dir="ltr"><br></div><div dir="ltr">The flaw was discovered and reported by security researcher Gilles Lionel. He shared its technical details and PoC code last week and revealed that the flaw works by coercing Windows hosts to authenticate other devices/systems through “MS-EFSRPC EfsRpcOpenFileRaw function,” which is Microsoft’s Encrypting File System Remote Protocol used to perform maintenance and management operations on encrypted data that are remotely stored and accessed via a network.</div><div dir="ltr"><br></div><div dir="ltr">Who is Vulnerable to PetitPotam?</div><div dir="ltr"><br></div><div dir="ltr">According to the advisory, users who are using Active Directory Certificate Services (AD CS) with the Certificate Enrollment Web Service or the Certificate Authority Web Enrollment service are vulnerable to this threat.</div><div dir="ltr"><br></div><div dir="ltr">PetitPotam exploits servers where AD CS isn’t configured with NTLM Relay Attacks protections. Therefore, it will give the attacker an authentication certificate, which may be used for accessing DC services to compromise the entire domain.</div><div dir="ltr"><br></div><div dir="ltr">“To prevent NTLM Relay Attacks on networks with NTLM enabled, domain administrators must ensure that services that permit NTLM authentication make use of protections such as Extended Protection for Authentication (EPA) or signing features such as SMB signing,” Microsoft advises.</div><div dir="ltr"><br></div><div dir="ltr">But, Lionel believes this won’t fully resolve the issue because PetitPotem abuses the EfsRpcOpenFileRaw function, and Microsoft’s advisory doesn’t address the MS-EFSRPC API abuse unless the company releases a security update.</div></div></div></div>