Последнее обновление 08.01.2023 — QGames
Теперь доступен бесплатный неофициальный патч, блокирующий злоумышленники от захвата контроллеров домена и компрометации целых доменов Windows с помощью ретрансляционных атак PetitPotam NTLM.
Вектор PetitPotam атаки , которая заставляет окна машины для проверки подлинности от вредоносных серверов NTLM релейной угрозы актерских с помощью Microsoft шифрованной файловой системы Remote Protocol ( EFSRPC ) был раскрыт в прошлом месяце исследователь безопасности Жиль Лайонела (аки Topotam ).
Используя этот метод атаки, злоумышленники могут полностью захватить домены Windows, позволяя им применять новые групповые политики и развертывать вредоносные программы (включая программы-вымогатели) на всех конечных точках.
В июле Microsoft выпустила рекомендации по безопасности, в которых объясняется, как смягчить атаки NTLM-ретрансляции, нацеленные на службы сертификации Active Directory (AD CS), и говорится, что уязвимые серверы неправильно настроены.
Хотя рекомендации Microsoft предназначены для предотвращения атак с ретрансляцией NTLM, в них не дается никаких указаний о том, как на самом деле заблокировать PetitPotam, который также может использоваться в качестве вектора для других атак, таких как переход на более раннюю версию NTLMv1.
Доступен бесплатный микропатч PetitPotam
Служба микропатчинга 0patch выпустила сегодня бесплатный неофициальный патч, который можно использовать для блокировки атак PetitPotam NTLM relay на следующую версию Windows:
- Windows Server 2019 (обновлено обновлениями за июль 2021 г.)
- Windows Server 2016 (обновлено обновлениями за июль 2021 г.)
- Windows Server 2012 R2 (обновлено обновлениями за июль 2021 г.)
- Windows Server 2008 R2 (обновлен с помощью обновлений января 2020 г., без расширенных обновлений безопасности)
Для Windows Server 2012 (не R2), Windows Server 2008 (не R2) и Windows Server 2003 микропатч выпущен не был, поскольку, согласно анализу 0patch, PetitPotam не влияет на эти выпуски.
Чтобы установить микропатч в вашей системе, вам сначала необходимо зарегистрировать учетную запись 0patch, а затем установить агент 0patch .
«Micropatches для этой уязвимости, как всегда, автоматически загружаются и применяются ко всем затрагиваемым компьютеров (если ваша политика не допускает это), и будет свободен , пока Microsoft не выпустила официальное исправление,» 0patch соучредитель Митя Kolsek сказал .
Если вы не можете сразу развернуть одно из этих временных исправлений, вы также можете защититься от атак PetitPotam с помощью фильтров NETSH RPC, которые блокируют удаленный доступ к MS-EFSRPC API, эффективно удаляя неаутентифицированный вектор атаки PetitPotam.