Opdatering blokerer for PetitPotam-angreb

Microsofts august-patch forhindrer en trusselsaktør i at overtage et Windows-domæne vha. af PetitPotam NTLM-relayangreb.

I juli afslørede en sikkerhedsresearcher en ny metode kaldet PetitPotam, der tvinger en domænecontroller til at godkende mod en trusselsaktørs server ved hjælp af MS-EFSRPC API-funktioner. Det skriver Bleeping Computer.

Ved brug af PetitPotam kan en trusselsaktør bruge Windows LSARPC-grænsefladen til at kommunikere og udføre MS-EFSRPC API-funktioner uden godkendelse. Funktionerne, OpenEncryptedFileRawA og OpenEncryptedFileRawW, skal angiveligt gøre det muligt for trusselsaktøren at tvinge en domænecontroller til at godkende til en NTLM-relæserver under angriberens kontrol.

NTLM-relæet videresender anmodningen til et offer Active Directory Certificate Services via HTTP for at modtage en Kerberos-’billetbevillingsbillet’ (TGT). Denne gør det muligt for trusselsaktøren at påtage sig identiteten på enhver enhed på netværket, herunder en domænecontroller.

Microsofts august patch blokerer PetitPotam-vektoren

Dette NTLM-relayangreb giver trusselsaktøren mulighed for at overtage domænecontrolleren og dermed Windows-domænet.

I juli udgav Microsoft en advisory, der forklarer, hvordan man kan afbøde NTLM-angreb mod Active Directory Certificate Services (AD CS). Microsoft leverede dog ingen oplysninger om blokering af PetitPotam-vektoren, indtil researchere opdagede, hvordan de sikres ved hjælp af NETSH -filtre.

Som en del af opdateringerne i august 2021 Patch Tuesday har Microsoft udsendt en sikkerhedsopdatering, der blokerer PetitPotam-vektoren (CVE-2021-36942). Dermed kan den ikke kan tvinge en domænecontroller til at godkende mod en anden server.

Microsoft advarer om, at installation af denne opdatering kan påvirke backup-software, der anvender EFS API OpenEncryptedFileRaw (A/W) -funktionen.

Links:

https://www.bleepingcomputer.com/news/microsoft/windows-security-update-blocks-petitpotam-ntlm-relay-attacks

https://www.bleepingcomputer.com/news/security/microsoft-shares-mitigations-for-new-petitpotam-ntlm-relay-attack/