Новый неофициальный патч для Windows устраняет больше векторов атак PetitPotam

40
Microsoft: обслуживание Windows 10 2004 прекращается в декабре

Выпущен второй неофициальный патч для ретрансляционной атаки Windows PetitPotam NTLM, призванный исправить другие проблемы, не решаемые официальным обновлением безопасности Microsoft.

Атака ретрансляции NTLM – это когда злоумышленник может заставить сервер или контроллер домена пройти аутентификацию на сервере ретрансляции NTLM под контролем злоумышленника.

Затем этот NTLM-ретранслятор будет перенаправлять запрос в службы сертификации Active Directory целевой жертвы через HTTP, чтобы получить билет на выдачу билетов Kerberos (TGT), который позволяет злоумышленнику принять личность контроллера домена и захватить домен Windows.

В прошлом существовало множество способов заставить контроллер домена аутентифицироваться на сервере ретрансляции злоумышленника, например, с помощью API печати MS-RPRN, который исправила Microsoft.

В июле исследователь безопасности ГИЛЛЕС Лайонел, также известный как Topotam , раскрыл новую технику под названием « PetitPotam », которая выполняет принудительную аутентификацию без аутентификации на контроллерах домена с использованием различных функций в API MS-EFSRPC (Microsoft Encrypted File System).

Обновление безопасности Microsoft не завершено

Из – за критический характер этого нападения, Microsoft выпустила обновление безопасности в рамках августа 2021 Patch вторника , что попытки исправить уязвимость PetitPotam, гусеничную, как CVE-2021-36942.

«Злоумышленник, не прошедший проверку подлинности, может вызвать метод интерфейса LSARPC и заставить контроллер домена пройти проверку подлинности на другом сервере с помощью NTLM», – поясняет Microsoft в сообщении CVE-2021-36942 .

К сожалению, обновление Microsoft неполное, и злоупотребление PetitPotam все еще возможно.

В рамках этого патча Microsoft исправила неаутентифицированный вектор для всех функций EFSRPC и полностью блокирует только принудительное согласование для функций OpenEncryptedFileRawA и OpenEncryptedFileRawW API при вызове через именованный канал LSARPC.

Именованный канал – это интерфейс Windows, который позволяет процессам в одной или разных системах взаимодействовать друг с другом. Эти именованные каналы предоставляют функции API, которые могут быть вызваны другими процессами для выполнения различных задач.

Однако обновление Microsoft не заблокировало функцию OpenEncryptedFileRawA / OpenEncryptedFileRawWs через именованный канал MS-EFSRPC, и злоумышленники по-прежнему могут злоупотреблять другими функциями через LSARPC и EFSRPC.

«По крайней мере, три другие функции могут быть нарушены, если они не заблокированы / не исправлены. Некоторые в твиттере уже указали на них и могут быть« легко »найдены, если люди будут искать», – сказал Лайонел BleepingComputer на прошлой неделе.

С тех пор Lionel обновил PetitPotam для поддержки следующих других функций EFSRPC, которые не были заблокированы обновлением безопасности Microsoft:

EfsRpcEncryptFileSrv
EfsRpcDecryptFileSrv
EfsRpcQueryUsersOnFile
EfsRpcQueryRecoveryAgents
EfsRpcRemoveUsersFromFile
EfsRpcAddUsersToFile

Более того, несмотря на то, что Microsoft устранила проблему отсутствия аутентификации, злоумышленники часто получают доступ к сетевым учетным данным, которые все еще могут быть использованы для запуска этой атаки.

Неофициальный патч устраняет эти нерешенные проблемы.

Чтобы предоставить более полный патч, служба микропатчинга 0patch выпустила обновленный неофициальный патч, который можно использовать для блокировки всех известных атак PetitPotam NTLM relay в следующих версиях Windows:

  1. Windows Server 2019 (обновлено обновлениями за июль 2021 г.)
  2. Windows Server 2016 (обновлено обновлениями за июль 2021 г.)
  3. Windows Server 2012 R2 (обновлено обновлениями за июль 2021 г.)
  4. Windows Server 2008 R2 (обновлен с помощью обновлений января 2020 г., без расширенных обновлений безопасности)

С помощью этого микропатча функции блокируются как в именованных каналах LSARPC, так и в EFSRPC, и их больше нельзя использовать в качестве части атаки ретрансляции NTLM.

«Мы исправили только одну функцию, которая вызывается из всех них и отвечает за отправку учетных данных системы на конечную точку злоумышленника», – сказал BleepingComputer соучредитель 0patch Митя Колсек.

«Как и в случае с нашим предыдущим патчем, мы заключили эту функцию в блок олицетворения, в результате чего злоумышленник получит обратно только свои собственные учетные данные вместо учетных данных Системы».

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here