Medan Microsoft förbereder patchen för PetitPotam-sårbarheten har 0patch utvecklat en mikropatch för att säkra system fram till dess.
Patchen var tillgänglig för Windows server v2008 R2, 2012 R2, 2016 och 2019 versioner. PetitPotam-felet, om det utnyttjas, kommer att låta hackare ta över Windows-domäner och injicera skadlig programvara och utföra skadliga aktiviteter.
Inofficiell patch för PetitPotam-fel
Många av Microsofts Windows-servrar är nu sårbara för ett nytt systemfel – PetitPotam – som upptäckts av säkerhetsforskare Gilles Lionel (aka Topotam) förra veckan.
Han förklarade att hotaktörer kan utnyttja detta genom att tvinga fram autentisering av målens Windows-maskiner mot deras skadliga NTLM-reläservrar genom Microsoft Encrypting File System Remote Protocol (EFSRPC) och ta över systemen i slutändan.
Hej alla,
MS-RPRN för att tvinga fram maskinautentisering är bra men tjänsten är ofta inaktiverad nuförtiden av administratörer på de flesta orgz.
Här är ett annat sätt vi använder för att få fram maskinkontoautentisering via MS-EFSRPC. Njuta!! 🙂https://t.co/AGiS4f6yt8— topotam (@topotam77) 18 juli 2021
Denna brist upptäcktes förra månaden, och snart släppte Microsoft en säkerhetsrådgivning anvisningar om hur man förhindrar NTLM-reläattacker från att inträffa, vilka riktar sig till Active Directory Certificate Services (AD CS). Den rådgivande sa att sårbara servrar är de som är felaktigt konfigurerade.
Även om rådgivandet hjälper till att förhindra NTLM Relay-attacker, nämnde det inte specifikt hur man blockerar PetitPotam-attackerna från att hända. Detta gör att de flesta serversystem är utsatta för denna attackerande vektor, eftersom angripare alltid är aktiva i att träffa sådana öppna avslöjanden.
Medan Microsoft förhoppningsvis förbereder en patch för detta, kan detta ta tid. Således, här är en inofficiell patch släppt av 0patch micropatch service, för
- Windows Server 2019 (uppdaterad med uppdateringar från juli 2021)
- Windows Server 2016 (uppdaterad med uppdateringar från juli 2021)
- Windows Server 2012 R2 (uppdaterad med uppdateringar från juli 2021), och
- Windows Server 2008 R2 (uppdaterad med uppdateringar från januari 2020, inga utökade säkerhetsuppdateringar)
Det finns ingen mikropatch utfärdad för Windows Server 2012 (ej R2), Windows Server 2008 (icke R2) och Windows Server 2003 eftersom dessa inte är utsatta för PetitPotam-attacker, enligt 0patch-analys.
Så för att säkra ditt system från detta fel på domänövertagandet, skapa ett konto i 0patch-tjänsten och ladda ner den berörda patchen omedelbart. Detta kommer att köra tills Microsoft släpper en officiell ersättare.