В прошлом месяце французский исследователь Жиль Лионель (Gilles Lionel) обнаружил уязвимость в Windows, которой дал имя PetitPotam. Проблему можно использовать, чтобы заставить удаленные Windows-серверы аутентифицировать злоумышленника и поделиться с ним данными аутентификации NTLM или сертификатами аутентификации. Таким образом, после захвата контроллера домена злоумышленники могут использовать групповые политики, к примеру, для развертывать малвари на всех доступных эндпоинтах.
Тогда представители Microsoft советовали отключить NTLM там, где в нем нет необходимости (например, в контроллерах домена), а также включить механизм Extended Protection for Authentication. Однако Лионель писал, что PetitPotam злоупотребляет функцией EfsRpcOpenFileRaw в MS-EFSRPC, а в рекомендациях Microsoft описаны действия по предотвращению атак типа NTLM relay, но не рассматривается злоупотребление API MS-EFSRPC в целом (а EFSRPC даже не упоминается). Дело в том, что PetitPotam допускает и другие атаки, к примеру, даунгрейд до NTLMv1, использующего Data Encryption Standard (DES) — небезопасный алгоритм, который упрощает восстановление паролей из хэша.
Теперь эксперты 0patch, подготовили временные патчи (или микропатчи) для этой проблемы. Напомню, что 0patch – это платформа, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, для поддержки продуктов, которые уже не поддерживаются производителями, кастомного софта и так далее.
Неофициальный патч можно использовать для защиты от атак PetitPotam NTLM relay в следующих версиях Windows:
- Windows Server 2019 (с обновлениями за июль 2021 года);
- Windows Server 2016 (с обновлениями за июль 2021 года);
- Windows Server 2012 R2 (с обновлениями за июль 2021 года)
- Windows Server 2008 R2 (с обновлениями за январь 2020 года, без расширенных обновлений безопасности).
Для Windows Server 2012 (не R2), Windows Server 2008 (не R2) и Windows Server 2003 микропатч недоступен, так как, согласно анализу 0patch, PetitPotam не опасен для этих версий ОС.
