На 0patch появилось неофициальное исправление для защиты от атак PetitPotam

На 0patch появилось неофициальное исправление для защиты от атак PetitPotam

Alexander Antipov

PetitPotam позволяет захватить контроль над доменами Windows, запускать групповые политики и развертывать вредоносы на конечных точках.

image

На платформе 0patch появилось бесплатное неофициальное исправление для защиты контроллеров домена и доменов Windows от релейных атак PetitPotam.

В ходе атаки PetitPotam злоумышленники заставляют компьютеры под управлением Windows аутентифицировать подконтрольные злоумышленникам вредоносные NTLM-серверы с помощью удаленного протокола Microsoft Encrypting File System Remote Protocol (EFSRPC). Атака была раскрыта в прошлом месяце исследователем безопасности Жилем Лионелем (Gilles Lionel), также известным как Topotam.

С помощью PetitPotam злоумышленники могут захватить полный контроль над доменами Windows, что позволит им запускать групповые политики и развертывать вредоносное (в том числе вымогательское) ПО на всех конечных точках.

В июле нынешнего года компания Microsoft выпустила уведомление безопасности, в котором объяснила, как защититься от релейных атак с использованием NTLM на Active Directory Certificate Services (AD CS). Согласно уведомлению безопасности, уязвимы к атакам только серверы с некорректной конфигурацией.

Хотя уведомление Microsoft призвано помочь администраторам защититься от релейных NTLM-атак, как блокировать конкретно атаки PetitPotam, в нем не сообщается. К счастью, на платформе 0patch был опубликован неофициальный патч для защиты следующих версий Windows:

Windows Server 2019 (с июльскими обновлениями 2021 года);

Windows Server 2016 (с июльскими обновлениями 2021 года);

Windows Server 2012 R2 (с июльскими обновлениями 2021 года);

Windows Server 2008 R2 (с январскими обновлениями 2020 года без расширенной поддержки обновлений безопасности).

Для версий Windows Server 2012 (не R2), Windows Server 2008 (не R2) и Windows Server 2003 исправление выпущено не было, поскольку PetitPotam их не затрагивает.


Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем телеграм канале.


Источник: Securitylab