В прошлом месяце французский исследователь Жиль Лионель (Gilles Lionel) обнаружил уязвимость в Windows, которой дал имя PetitPotam. Проблему можно использовать, чтобы заставить удаленные Windows-серверы аутентифицировать злоумышленника и поделиться с ним данными аутентификации NTLM или сертификатами аутентификации. Таким образом, после захвата контроллера домена злоумышленники могут использовать групповые политики, к примеру,  для развертывать малвари на всех доступных эндпоинтах.

Тогда представители Microsoft советовали отключить NTLM там, где в нем нет необходимости (например, в контроллерах домена), а также включить механизм Extended Protection for Authentication. Однако Лионель писал, что PetitPotam злоупотребляет функцией EfsRpcOpenFileRaw в MS-EFSRPC,  а в рекомендациях Microsoft описаны действия по предотвращению атак типа NTLM relay, но не рассматривается злоупотребление API MS-EFSRPC в целом (а EFSRPC даже не упоминается). Дело в том, что PetitPotam допускает и другие атаки, к примеру, даунгрейд до NTLMv1, использующего Data Encryption Standard (DES) — небезопасный алгоритм, который упрощает восстановление паролей из хэша.

Теперь  эксперты 0patch, подготовили временные патчи (или микропатчи) для этой проблемы. Напомню, что 0patch – это платформа, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, для поддержки продуктов, которые уже не поддерживаются производителями, кастомного софта и так далее.

Неофициальный патч можно использовать для защиты от атак PetitPotam NTLM relay в следующих версиях Windows:

  • Windows Server 2019 (с обновлениями за июль 2021 года);
  • Windows Server 2016 (с обновлениями за июль 2021 года);
  • Windows Server 2012 R2 (с обновлениями за июль 2021 года)
  • Windows Server 2008 R2 (с обновлениями за январь 2020 года, без расширенных обновлений безопасности).

Для Windows Server 2012 (не R2), Windows Server 2008 (не R2) и Windows Server 2003 микропатч недоступен, так как, согласно анализу 0patch, PetitPotam не опасен для этих версий ОС.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии