Microsoft исправляет новый вектор атаки PetitPotam Windows NTLM Relay

5
Microsoft Defender для конечных точек получает новый режим устранения неполадок

Недавнее обновление безопасности для атаки ретрансляции NTLM в Windows подтвердило, что она является ранее не исправленным вектором атаки PetitPotam.

Во вторник исправлений 2022 мая Microsoft выпустила обновление безопасности для активно эксплуатируемой атаки NTLM Relay Attack, обозначенной как ‘Windows LSA Spoofing Vulnerability’ и отслеживаемой как CVE-2022-26925.

«Неаутентифицированный злоумышленник может вызвать метод на интерфейсе LSARPC и заставить контроллер домена аутентифицироваться для злоумышленника с помощью NTLM. Это обновление безопасности обнаруживает попытки анонимного подключения в LSARPC и запрещает их.»

Атака NTLM Relay Attack позволяет субъектам угроз заставлять устройства, даже контроллеры домена, проходить аутентификацию на контролируемых ими вредоносных серверах. Как только устройство проходит аутентификацию, вредоносный сервер может выдать себя за устройство и получить все его привилегии.

Эти атаки представляют собой серьезную проблему, поскольку они могут позволить субъекту угрозы получить полный контроль над доменом.

Хотя Microsoft не поделилась слишком многими подробностями об ошибке, она заявила, что исправление затрагивает функцию EFS API OpenEncryptedFileRaw(A/W), что указывает на то, что это может быть еще один непропатченный вектор для атаки PetitPotam.

Подтверждено, что он является частью Petitotam

PetitPotam — это атака NTLM Relay Attack, отслеживаемая как CVE-2021-36942, которую обнаружил французский исследователь безопасности GILLES Lionel, он же Topotam, в июле.

Атака PetitPotam позволяла неаутентифицированным пользователям использовать функцию EfsRpcOpenFileRaw API MS-EFSRPC, чтобы заставить устройство выполнить NTLM-аутентификацию на контролируемых злоумышленником серверах.

Хотя Microsoft исправила часть уязвимости PetitPotam в августе 2021 года, все еще оставались непропатченные векторы, которые позволяли злоумышленникам использовать эту ошибку.

«В мае было выпущено обновление безопасности. Клиенты, применившие обновление или включившие автоматическое обновление, будут защищены. Мы постоянно улучшаем безопасность наших продуктов и рекомендуем клиентам включить автоматические обновления, чтобы обеспечить защиту». — представитель Microsoft.

Рафаэль Джон, которому Microsoft приписывает обнаружение новой уязвимости NTLM Relay, говорит, что он обнаружил, что PetitPotam все еще работает при проведении пентестов в январе и марте.

Однако, когда он сообщил об этом в Microsoft, они исправили его под новым CVE, а не под первоначальным, присвоенным PetitPotam.

«Я очень четко указал в отчете, что это только PetitPotam и ничего, что я обнаружил или изменил», — сказал Рафаэль Джон в беседе с BleepingComputer.

PetitPotam продолжал работать после исправления Microsoft, потому что Топотам обнаружил обход августовского обновления безопасности и добавил его в свой инструмент в январе 2022 года.

Жиль подтвердил, что в новом обновлении безопасности исправлен вектор PetitPotam ‘EfsRpcOpenFileRaw’, но другие векторы EFS все еще существуют, что позволяет атаке работать.

«Все функции petitpotam, как и другие векторы, по-прежнему работают, кроме efsopenfileraw», — сказал Жиль в интервью.

Поскольку в будущем будут обнаружены новые векторы PetitPotam и другие атаки NTML Relay, Microsoft предлагает администраторам доменов Windows ознакомиться со средствами защиты, описанными в документе поддержки ‘Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)’.

Предыдущая статьяКарта игрока Skyrim демонстрирует политику Тамриэля
Следующая статьяРазгневанный ИТ-администратор стирает базы данных работодателя и получает 7 лет тюрьмы
Главный редактор сайта освещающий последние игровые новости и рассказывающий занимательные геймерские истории. Большой фанат онлайн-игр. Пополняет каталог проекта самыми интересными играми. Когда он не работает, вы, несомненно, можете найти его играющего в один из последних тайтлов.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь