Microsoft выпустила обновление безопасности, блокирующее атаки PetitPotam

Компания Microsoft выпустила обновление безопасности, блокирующее атаки PetitPotam, позволяющие злоумышленникам захватывать контроль над доменом Windows domain.

В июле нынешнего года исследователь безопасности Жиль Лионель (Gilles Lionel), также известный как Topotam, представил новый метод PetitPotam, с помощью которого злоумышленник может заставить контроллер домена аутентифицировать подконтрольный ему сервер, используя API-функции MS-EFSRPC.

Как пояснил исследователь, злоумышленник может через интерфейс Windows LSARPC коммуницировать и выполнять API-функции MS-EFSRPC без аутентификации. Эти функции, OpenEncryptedFileRawA и OpenEncryptedFileRawW, позволяют злоумышленнику заставить контроллер домена аутентифицировать его NTLM-сервер.

Реле NTLM затем переадресует запрос на Active Directory Certificate Services жертвы по HTTP, чтобы получить TGT Kerberos, позволяющие злоумышленнику получить идентификацию любого устройства в сети, включая контроллер домена.

В прошлом месяце Microsoft выпустила уведомление безопасности, в котором рассказала, как предотвращать релейные атаки на Active Directory Certificate Services (AD CS), но не представила никаких советов по блокировке вектора атак PetitPotam.

В рамках августовского «вторника исправлений» компания выпустила патч, блокирующий вектор атак PetitPotam ( CVE-2021-36942 ).

«Неавторизованный атакующий мог вызвать метод в LSARPC-интерфейсе и вынудить контроллер домена аутентифицировать другой сервер с помощью NTLM. Это обновление безопасности блокирует вызовы затронутых API OpenEncryptedFileRawA и OpenEncryptedFileRawW через LSARPC-интерфейс», - сообщается в уведомлении безопасности Microsoft.

Компания также предупредила, что установка обновления может затронуть ПО для резервного копирования, использующее функции EFS API OpenEncryptedFileRaw(A/W).

«EFS API OpenEncryptedFileRaw(A/W), часто использующиеся в ПО для резервного копирования, продолжают работать во всех версиях Windows (локально и удаленно), за исключением случаев, систем Windows Server 2008 SP2. OpenEncryptedFileRaw больше не работает на Windows Server 2008 SP2», - предупредила Microsoft.