Обновление для системы безопасности Windows блокирует атаки PetitPotam NTLM relay

105
Обновление Windows KB5012170 вызывает экраны восстановления BitLocker, проблемы с загрузкой

Корпорация Майкрософт выпустила обновления безопасности, которые блокируют атаку ретрансляции PetitPotam NTLM, которая позволяет злоумышленнику захватить домен Windows.

В июле исследователь безопасности ГИЛЛЕС Лайонел, также известный как Topotam , раскрыл новый метод под названием PetitPotam, который заставляет контроллер домена проходить аутентификацию на сервере злоумышленника с помощью функций API MS-EFSRPC.

Используя вектор PetitPotam, злоумышленник может использовать интерфейс Windows LSARPC для связи и выполнения функций API MS-EFSRPC без аутентификации. Функции OpenEncryptedFileRawA и OpenEncryptedFileRawW позволяют злоумышленнику заставить контроллер домена пройти аутентификацию на сервере ретрансляции NTLM под контролем злоумышленника.

Ретранслятор NTLM будет перенаправлять запрос в службы сертификации Active Directory жертвы через HTTP для получения билета на выдачу билетов Kerberos (TGT), который позволяет злоумышленнику принять личность любого устройства в сети, включая контроллер домена.

Эта атака с ретрансляцией NTLM позволяет злоумышленнику захватить контроллер домена и, следовательно, домен Windows.

В июле Microsoft выпустила рекомендации по безопасности, в которых объясняется, как смягчить атаки NTLM-ретрансляции, нацеленные на службы сертификации Active Directory (AD CS).

Однако Microsoft не предоставила никакой информации о блокировке вектора PetitPotam, пока исследователи не обнаружили, как защитить его с помощью фильтров NETSH .

Microsoft блокирует вектор PetitPotam

В рамках обновлений во вторник августа 2021 года Microsoft выпустила обновление безопасности, которое блокирует вектор PetitPotam ( CVE-2021-36942 ), поэтому он не может заставить контроллер домена пройти аутентификацию на другом сервере .:

«Злоумышленник, не прошедший проверку подлинности, может вызвать метод интерфейса LSARPC и заставить контроллер домена пройти проверку подлинности на другом сервере с помощью NTLM», — поясняет Microsoft в сообщении CVE-2021-36942.

«Это обновление безопасности блокирует вызовы уязвимых API OpenEncryptedFileRawA и OpenEncryptedFileRawW через интерфейс LSARPC».

Microsoft предупреждает, что установка этого обновления может повлиять на программное обеспечение резервного копирования, которое использует функцию EFS API OpenEncryptedFileRaw (A / W).

«EFS API OpenEncryptedFileRaw (A / W), часто используемый в программном обеспечении для резервного копирования, продолжает работать во всех версиях Windows (локальных и удаленных), за исключением резервного копирования в систему под управлением Windows Server 2008 SP2 или из нее. OpenEncryptedFileRaw больше не будет работают на Windows Server 2008 SP2 », — предупреждает Microsoft.

Если ваше программное обеспечение резервного копирования больше не работает после установки этого обновления в Windows 7 с пакетом обновления 1 или Windows Server 2008 R2 с пакетом обновления 1 и более поздних версий, Microsoft рекомендует вам обратиться к разработчику программного обеспечения резервного копирования для получения обновленной версии.

Последнее обновление 1 год назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии