[English]Sicherheitsforscher hatten kürzlich einen neuen Angriffsvektor namens PetitPotam offen gelegt. Mittels eines NTLM-Relay-Angriffs kann jeder Windows Domain Controller von Angreifern übernommen werden. ACROS Security hat nun bereits die zweite kostenlose 0Patch-Lösung für verschieden Windows Server-Versionen vorgelegt, die die Ausnutzung der Schwachstelle verhindert.
Anzeige
Die PetitPotam-Schwachstelle
Der französische Sicherheitsforscher Gilles Lionel (Alias Topotam) hatte im Juli 2021 ein Proof of Concept (PoC) zur Ausnutzung eines NTLM-Relay-Angriffs veröffentlicht, mit dem Windows Domain Controller übernommen werden können. Es gibt eine Methode, um einen Domänencontroller zu zwingen, sich gegenüber einem bösartigen NTLM-Relay zu authentifizieren. Dies ermöglicht, dann die Anfrage über HTTP an die Active Directory-Zertifikatsdienste einer Domäne weiter zu leiten. Letztendlich erhält der Angreifer ein Kerberos-Ticket (TGT), mit dem er die Identität eines beliebigen Geräts im Netzwerk, einschließlich eines Domänencontrollers, annehmen könnte.
Ich hatte im Blog-Beitrag PetitPotam-Angriff erlaubt Windows Domain-Übernahme über dieses Szenario berichtet. Inzwischen gibt es von Microsoft einen Workaround (siehe Microsoft liefert Workaround für Windows PetitPotam NTLM-Relay-Angriffe) und einen Ansatz, die Angriffe per Netsh-Filter zu blockieren (siehe PetitPotam-Angriffe auf Windows durch RPC-Filter blocken). Eine neue Möglichkeit, die Schwachstelle zu blockieren, ist mir nun von ACROS Security unter die Augen gekommen.
Die neu 0Patch-Lösung für PetitPotam
Das Team von ACROS Security, welches seit Jahren die 0Patch-Lösung bereitstellt, hat die PetitPotam-Schwachstelle analysiert und stellte auf die Schnelle einen Micropatch bereit, um die Schwachstelle unschädlich zu machen (siehe 0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)). Nun gibt es einen überarbeiteten Micropatch, der weitere Angriffsvektoren blockiert. Mitja Kolsek hat mich über Twitter auf diese kostenlose Lösung aufmerksam gemacht.
Anzeige
Das Ganze wird in diesem Blog-Beitrag vom 6. August 2021 von 0patch detaillierter beschrieben und wurde letztmalig am 19. August 2021 ergänzt. Die 0patch Micropatches stehen kostenlos für folgende Produkte bereit:
- Windows Server 2019 (updated with July 2021 Updates)
- Windows Server 2016 (updated with July 2021 Updates)
- Windows Server 2012 R2 (updated with July 2021 Updates)
- Windows Server 2008 R2 (updated with January 2020 Updates, no Extended Security Updates)
Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (wie z.B. hier).
Ähnliche Artikel
PetitPotam-Angriff erlaubt Windows Domain-Übernahme
Microsoft liefert Workaround für Windows PetitPotam NTLM-Relay-Angriffe
HiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934
Neue Infos zur Windows 10-Schwachstelle HiveNightmare
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien
Microsoft Security Update Revisions (29. Juli 2021)
PetitPotam-Angriffe auf Windows durch RPC-Filter blocken
Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1281 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1337 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1530 in Windows 7/Server 2008 R2
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
0patch fixt CVE-2020-1013 in Windows 7/Server 2008 R2
0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec
0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle
0patch fixt 0-day im Internet Explorer
0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2
0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)
0Patch bietet Support für Windows 10 Version 1809 nach EOL
Windows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)
Anzeige