Windows-Schwachstelle CVE-2021-36942 (Petitpotam) und DCOM-Härtung

WindowsSicherheitsforscher hatten im Juli 2021 einen neuen Angriffsvektor namens PetitPotam für einen NTLM-Relay-Angriff offen gelegt. Mit einem Angriff kann jeder Windows Domain Controller von Angreifern übernommen werden. Das Ganze wurde zum 10. August 2021 mittels Sicherheitsupdates gepatcht. Die Woche erreichte mich zudem eine Rückmeldung, dass es nach der Härtung des DCOM-Systems, möglicherweise durch die September 2021-Updates, zu einem Fehler in der Ereignisanzeige gekommen sei. Ich fasse die Informationen in einem Blog-Beitrag zusammen und stelle diese zur Information hier im Blog ein.


Anzeige

Die PetitPotam-Schwachstelle

Aus der Schweiz wurde ich die Tage von Daniela S. kontaktiert, die mich darauf hinwies, dass die PetitPotam-Schwachstelle im August 2021 gepatcht worden sei:

PetitPotam:  Etwas spät sind wir auf einen Bericht gestoßen, als wir uns mit der PetitPotam-Schwachstelle beschäftigt haben, dass die Lücke im August geschlossen worden sei… Da wir in Ihrem Blog diverse Infos dazu gefunden haben, bezgl. Patches jedoch nur die 0Patch-Infos, wollten wir Sie gerne darauf aufmerksam machen. Allenfalls haben Sie dazu ja noch einen Bericht geplant oder haben weitere Hinweise von anderen Lesern. :)

Ich hatte das zwar am Rande mit dem Patch mitbekommen, aber im Blog nicht explizit thematisiert. Der Hintergrund des Ganzen: Der französische Sicherheitsforscher Gilles Lionel (Alias Topotam) hatte im Juli 2021 ein Proof of Concept (PoC) zur Ausnutzung eines NTLM-Relay-Angriffs veröffentlicht, mit dem Windows Domain Controller übernommen werden können (siehe auch PetitPotam-Angriff erlaubt Windows Domain-Übernahme). Er benutzt dazu eine Methode, um einen Domänencontroller zu zwingen, sich gegenüber einem bösartigen NTLM-Relay zu authentifizieren. Dies ermöglicht, dann die Anfrage über HTTP an die Active Directory-Zertifikatsdienste einer Domäne weiter zu  leiten. Letztendlich erhält der Angreifer ein Kerberos-Ticket (TGT), mit dem er die Identität eines beliebigen Geräts im Netzwerk, einschließlich eines Domänencontrollers, annehmen könnte.

Betroffen waren alle noch im Support befindlichen Windows Server-Varianten (von Windows Server 2008 bis Windows Server 2019). Diese sogenannte Windows LSA Spoofing-Schwachstelle CVE-2021-36942 wurde zum 10. August 2021 mit den regulären Sicherheitsupdates geschlossen (hatte ich im Blog aber nicht explizit thematisiert). Allerdings gab es einen weiteren Angriffsvektor, für den dann Acros-Security einen 0patch-Fix bereitstellte (siehe 2. 0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)).

Fehler nach DCOM-Härtung per September 2021-Patch

In der gleichen Mail schrieb mir Daniela S. etwas über die Erfahrungen, die sie im Unternehmen mit den Sicherheitsupdates vom September 2021 gemacht hatte.


Anzeige

DCOM-Härtung: Nach der Installation des September-Patches auf unserem Testserver sind wir auf eine neue Fehlermeldung (DistributedCOM ID 10036) gestoßen. Hier der DCOM-Fehler zur Info: 

Die DCOM-Härtung hatten wir nicht auf dem Radar [diese ist beschrieben in].

How to test the impact of new Windows DCOM Server authentication

oder auch

Security Advisory: Windows' Event Viewer Service Vulnerable to NTLM Relay Attacks

Wir sind uns nicht sicher, ob hier mit dem September-Patch nun bereits etwas gehärtet wurde, da sind wir noch am Recherchieren. Microsoft hat bezgl. dieser Lücke im Juni ja bereits zu patchen begonnen (siehe Blog-Beitrag Windows: Juni 2021-Updates (KB5003637 etc.) können Remote-Zugriff auf Ereignisse blocken, hier in Zusammenhang mit CVE-2021-31958).

Ev. als Hinweis, bei uns ist der zu setzende Reg-Key (RequireIntegrityActivationAuthenticationLevel = 1) noch nicht gesetzt.

Da im 4. Quartal 21 die zweite Phase beginnt, ist das ev. für Administratoren noch interessant…Ende 21 bzw. Anfang 22 soll es ja dann gehärtet werden und nicht mehr deaktiviert werden können. (Quelle CVE-2021-26414. (Google spuckt hier leider noch nicht so viele Infos raus, weshalb wir vermuten, dass es einen Zusammenhang geben könnte mit dem September-Patch. Der Server mit der IP 192.168.1.7 ist momentan noch nicht gepatcht.

Ähnliche Artikel
PetitPotam-Angriff erlaubt Windows Domain-Übernahme
Microsofts Workaround gegen Windows PetitPotam NTLM-Relay-Angriffe
PetitPotam-Angriffe auf Windows durch RPC-Filter blocken
0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)
2. 0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)


Anzeige

Dieser Beitrag wurde unter Sicherheit, Update, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Windows-Schwachstelle CVE-2021-36942 (Petitpotam) und DCOM-Härtung

  1. Sebastian sagt:

    DCOM kann man aus meiner Sicht nicht härten. Es war anno 1998 der wenig geistreiche Versuch COM ins Internetzeitalter zu bringen. Ist hinterher natürlich leicht gesagt.

  2. Daniela S. sagt:

    Wir haben hier noch einen Nachtrag bezgl. DCOM-Härtung bzw. der Fehlermeldung: Nachdem der Server mit IP 192.168.1.7 gepatcht war, verschwand die Meldung. Somit alles ok mit gleichem Patchstand.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.