10/08/21
На платформе 0patch появилось бесплатное неофициальное исправление для защиты контроллеров домена и доменов Windows от релейных атак PetitPotam.
В ходе атаки PetitPotam злоумышленники заставляют компьютеры под управлением Windows аутентифицировать подконтрольные злоумышленникам вредоносные NTLM-серверы с помощью удаленного протокола Microsoft Encrypting File System Remote Protocol (EFSRPC). Атака была раскрыта в прошлом месяце исследователем безопасности Жилем Лионелем (Gilles Lionel), также известным как Topotam.
С помощью PetitPotam злоумышленники могут захватить полный контроль над доменами Windows, что позволит им запускать групповые политики и развертывать вредоносное (в том числе вымогательское) ПО на всех конечных точках.
В июле нынешнего года компания Microsoft выпустила уведомление безопасности, в котором объяснила, как защититься от релейных атак с использованием NTLM на Active Directory Certificate Services (AD CS). Согласно уведомлению безопасности, уязвимы к атакам только серверы с некорректной конфигурацией.
Хотя уведомление Microsoft призвано помочь администраторам защититься от релейных NTLM-атак, как блокировать конкретно атаки PetitPotam, в нем не сообщается. К счастью, на платформе 0patch был опубликован неофициальный патч для защиты следующих версий Windows:
Windows Server 2019 (с июльскими обновлениями 2021 года);
Windows Server 2016 (с июльскими обновлениями 2021 года);
Windows Server 2012 R2 (с июльскими обновлениями 2021 года);
Windows Server 2008 R2 (с январскими обновлениями 2020 года без расширенной поддержки обновлений безопасности).
Для версий Windows Server 2012 (не R2), Windows Server 2008 (не R2) и Windows Server 2003 исправление выпущено не было, поскольку PetitPotam их не затрагивает.
