26/07/21
Французский исследователь в области кибербезопасности Жиль Лионель (Gilles Lionel) обнаружил уязвимость в операционной системе Windows. Ее эксплуатация заставляет удаленные серверы Windows инициировать процесс аутентификации и затем отправить хакеру данные аутентификации NTLM или сертификаты аутентификации.
Проблема получила название PetitPotam, и на GitHub был опубликован PoC-код для ее эксплуатации. Злоумышленник может в своих целях использовать протокол MS-EFSRPC, который позволяет устройствам под управлением Windows выполнять операции с зашифрованными данными, хранящимися на удаленных системах.
Путем отправки SMB-запросов на интерфейс MS-EFSRPC удаленной системы можно заставить компьютер инициировать процедуру аутентификации и делиться своими данными аутентификации. С помощью полученных данных преступник может осуществлять атаки ретрансляции NTLM для получения доступа к удаленным системам в той же внутренней сети.
Как сообщил Жилем, отключение поддержки MS-EFSRPC не предотвращает атаку. Атака была протестирована на системах Windows Server 2016 и Windows Server 2019, но исследователи безопасности полагают, что PetitPotam затрагивает большинство поддерживаемых версий Windows Server.
Представитель Microsoft не прокомментировал данную проблему, однако компания опубликовала меры по предотвращению эксплуатации уязвимости.
