Установка обновления может затронуть ПО для резервного копирования, использующее функции EFS API OpenEncryptedFileRaw(A/W).
Компания Microsoft выпустила обновление безопасности, блокирующее атаки PetitPotam, позволяющие злоумышленникам захватывать контроль над доменом Windows domain.
В июле нынешнего года исследователь безопасности Жиль Лионель (Gilles Lionel), также известный как Topotam, представил новый метод PetitPotam, с помощью которого злоумышленник может заставить контроллер домена аутентифицировать подконтрольный ему сервер, используя API-функции MS-EFSRPC.
Как пояснил исследователь, злоумышленник может через интерфейс Windows LSARPC коммуницировать и выполнять API-функции MS-EFSRPC без аутентификации. Эти функции, OpenEncryptedFileRawA и OpenEncryptedFileRawW, позволяют злоумышленнику заставить контроллер домена аутентифицировать его NTLM-сервер.
Реле NTLM затем переадресует запрос на Active Directory Certificate Services жертвы по HTTP, чтобы получить TGT Kerberos, позволяющие злоумышленнику получить идентификацию любого устройства в сети, включая контроллер домена.
В прошлом месяце Microsoft выпустила уведомление безопасности, в котором рассказала, как предотвращать релейные атаки на Active Directory Certificate Services (AD CS), но не представила никаких советов по блокировке вектора атак PetitPotam.
В рамках августовского «вторника исправлений» компания выпустила патч, блокирующий вектор атак PetitPotam ( CVE-2021-36942 ).
«Неавторизованный атакующий мог вызвать метод в LSARPC-интерфейсе и вынудить контроллер домена аутентифицировать другой сервер с помощью NTLM. Это обновление безопасности блокирует вызовы затронутых API OpenEncryptedFileRawA и OpenEncryptedFileRawW через LSARPC-интерфейс», - сообщается в уведомлении безопасности Microsoft.
Компания также предупредила, что установка обновления может затронуть ПО для резервного копирования, использующее функции EFS API OpenEncryptedFileRaw(A/W).
«EFS API OpenEncryptedFileRaw(A/W), часто использующиеся в ПО для резервного копирования, продолжают работать во всех версиях Windows (локально и удаленно), за исключением случаев, систем Windows Server 2008 SP2. OpenEncryptedFileRaw больше не работает на Windows Server 2008 SP2», - предупредила Microsoft.
Спойлер: мы раскрываем их любимые трюки