Уязвимость Windows PetitPotam получила неофициальное бесплатное исправление

64

Последнее обновление 08.01.2023 — QGames

Теперь доступен бесплатный неофициальный патч, блокирующий злоумышленники от захвата контроллеров домена и компрометации целых доменов Windows с помощью ретрансляционных атак PetitPotam NTLM.

Вектор PetitPotam атаки , которая заставляет окна машины для проверки подлинности от вредоносных серверов NTLM релейной угрозы актерских с помощью Microsoft шифрованной файловой системы Remote Protocol ( EFSRPC ) был раскрыт в прошлом месяце исследователь безопасности Жиль Лайонела (аки Topotam ).

Используя этот метод атаки, злоумышленники могут полностью захватить домены Windows, позволяя им применять новые групповые политики и развертывать вредоносные программы (включая программы-вымогатели) на всех конечных точках.

В июле Microsoft выпустила рекомендации по безопасности, в которых объясняется, как смягчить атаки NTLM-ретрансляции, нацеленные на службы сертификации Active Directory (AD CS), и говорится, что уязвимые серверы неправильно настроены.

Хотя рекомендации Microsoft предназначены для предотвращения атак с ретрансляцией NTLM, в них не дается никаких указаний о том, как на самом деле заблокировать PetitPotam, который также может использоваться в качестве вектора для других атак, таких как переход на более раннюю версию NTLMv1.

По теме:  Что такое трассировка стека Java?

Доступен бесплатный микропатч PetitPotam

Служба микропатчинга 0patch выпустила сегодня бесплатный неофициальный патч, который можно использовать для блокировки атак PetitPotam NTLM relay на следующую версию Windows:

  • Windows Server 2019 (обновлено обновлениями за июль 2021 г.)
  • Windows Server 2016 (обновлено обновлениями за июль 2021 г.)
  • Windows Server 2012 R2 (обновлено обновлениями за июль 2021 г.)
  • Windows Server 2008 R2 (обновлен с помощью обновлений января 2020 г., без расширенных обновлений безопасности) 

Для Windows Server 2012 (не R2), Windows Server 2008 (не R2) и Windows Server 2003 микропатч выпущен не был, поскольку, согласно анализу 0patch, PetitPotam не влияет на эти выпуски.

Чтобы установить микропатч в вашей системе, вам сначала необходимо зарегистрировать учетную запись 0patch, а затем установить агент 0patch .

«Micropatches для этой уязвимости, как всегда, автоматически загружаются и применяются ко всем затрагиваемым компьютеров (если ваша политика не допускает это), и будет свободен , пока Microsoft не выпустила официальное исправление,» 0patch соучредитель Митя Kolsek сказал .

Если вы не можете сразу развернуть одно из этих временных исправлений, вы также можете защититься от атак PetitPotam с помощью фильтров NETSH RPC, которые блокируют удаленный доступ к MS-EFSRPC API, эффективно удаляя неаутентифицированный вектор атаки PetitPotam.