{"id":256097,"date":"2021-07-25T10:58:43","date_gmt":"2021-07-25T08:58:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256097"},"modified":"2022-02-26T15:18:03","modified_gmt":"2022-02-26T14:18:03","slug":"microsoft-liefert-workaround-fr-windows-petitpotam-ntlm-relay-angriffe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/25\/microsoft-liefert-workaround-fr-windows-petitpotam-ntlm-relay-angriffe\/","title":{"rendered":"Microsofts Workaround gegen Windows PetitPotam NTLM-Relay-Angriffe"},"content":{"rendered":"

\"Windows\"[English<\/a>]Am gestrigen 24. Juli 2021 hatte ich \u00fcber einen neuen Angriffsvektor namens PetitPotam berichtet, \u00fcber den mittels eines NTLM-Relay-Angriffs Windows Domain Controller \u00fcbernommen werden k\u00f6nnen (siehe mein Beitrag PetitPotam-Angriff erlaubt Windows Domain-\u00dcbernahme<\/a>). Inzwischen hat Microsoft reagiert und einen Sicherheitshinweis zu diesem Sicherheitsproblem ver\u00f6ffentlicht. Gleichzeitig macht Microsoft Vorschl\u00e4ge, wie diese Sicherheitsl\u00fccke durch Administratoren abgeschw\u00e4cht werden kann. Ich fasse mal die wichtigsten Informationen zusammen.<\/p>\n

<\/p>\n

Microsoft PetitPotam-Sicherheitshinweis<\/h2>\n

\"\"Blog-Leser Carsten hat gestern Nacht in diesem Kommentar<\/a> bereits darauf hingewiesen (danke daf\u00fcr), dass Microsoft etwas in Bezug auf PetitPotam ver\u00f6ffentlicht habe. Zur gleichen Zeit habe ich von Microsoft eine Mail mit dem nachfolgenden Inhalt als Sicherheitshinweis erhalten.<\/p>\n

********************************************************************
\nTitle: Microsoft Security Update Revisions
\nIssued: July 24, 2021
\n********************************************************************<\/p>\n

Summary
\n=======<\/p>\n

The following advisory and CVE have undergone major revision increments.<\/p>\n

====================================================================<\/p>\n

The following advisory has been published to the Security Update Guide:<\/p>\n

* ADV210003<\/p>\n

ADV210003<\/a> | Mitigating NTLM Relay Attacks on Active Directory Certificate
\nServices (AD CS)
\n– Version: 1.0
\n– Reason for Revision: Information published.
\n– Originally posted: July 24, 2021
\n– Updated: N\/A
\n– Aggregate CVE Severity Rating: N\/A<\/p><\/blockquote>\n

Unter ADV210003<\/a> geht Microsoft auf die Schwachstelle ein, die NTLM Relay-Angriffe auf Active Directory-Zertifikate erm\u00f6glicht und schreibt etwas von einer Mitigation, also einer Abschw\u00e4chung des Angriffsvektors.<\/p>\n

Die PetitPotam-Schwachstelle<\/h2>\n

Ich hatte den Angriffsvektor zwar bereits im Blog-Beitrag PetitPotam-Angriff erlaubt Windows Domain-\u00dcbernahme<\/a> kurz skizziert. Der Microsoft Sicherheitshinweis liefert nun aber die Best\u00e4tigung, dass Microsoft da eine Sicherheitsl\u00fccke sieht. Es hei\u00dft:<\/p>\n

Microsoft is aware of PetitPotam which can potentially be used in an attack on Windows domain controllers or other Windows servers. PetitPotam is a classic NTLM Relay Attack, and such attacks have been previously documented by Microsoft along with numerous mitigation options to protect customers. For example, see Microsoft Security Advisory 974926<\/a>.<\/p><\/blockquote>\n

Microsoft ist sich also des PetitPotam-Angriffsvektors durch NTLM Relay-Angriffe auf Active Directory-Zertifikate bewusst und verweist auf das aus dem Jahr 2009 stammende Advisory 974926<\/a>. Das Ganze ist also nicht neu, jemand hat das alles lediglich unter dem PetitPotam geschickt verpackt. Betroffen von dieser Schwachstelle sind:<\/p>\n