{"id":256323,"date":"2021-08-03T06:51:47","date_gmt":"2021-08-03T04:51:47","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256323"},"modified":"2021-08-12T09:45:33","modified_gmt":"2021-08-12T07:45:33","slug":"petitpotam-angriffe-auf-windows-durch-filter-blocken","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/03\/petitpotam-angriffe-auf-windows-durch-filter-blocken\/","title":{"rendered":"PetitPotam-Angriffe auf Windows durch RPC-Filter blocken"},"content":{"rendered":"

\"Windows\"[English<\/a>]Sicherheitsforscher haben k\u00fcrzlich einen neuen Angriffsvektor namens PetitPotam<\/em> offen gelegt. Mittels eines NTLM-Relay-Angriffs kann jeder Windows Domain Controller \u00fcbernommen werden.\u00a0 Inzwischen hat Microsoft reagiert und einen Sicherheitshinweis zu diesem Sicherheitsproblem ver\u00f6ffentlicht. Aber es gibt einen zweiten Vorschlag von Sicherheitsforschern, den Angriff \u00fcber RPC-Filter zu blockieren. Aber dieser Vorschlag ist keine Universall\u00f6sung.<\/p>\n

<\/p>\n

Die PetitPotam-Schwachstelle<\/h2>\n

\"\"Der franz\u00f6sische Sicherheitsforscher Gilles Lionel (Alias Topotam) hatte im Juli 2021 ein Proof of Concept (PoC) zur Ausnutzung eines NTLM-Relay-Angriffs ver\u00f6ffentlicht, mit dem Windows Domain Controller \u00fcbernommen werden k\u00f6nnen. Sicherheitsforscher waren auf eine Methode gesto\u00dfen<\/a>, um einen Dom\u00e4nencontroller zu zwingen, sich gegen\u00fcber einem b\u00f6sartigen NTLM-Relay zu authentifizieren. Die erm\u00f6glicht, dann die Anfrage \u00fcber HTTP an die Active Directory-Zertifikatsdienste einer Dom\u00e4ne weiter zu\u00a0 leiten. Letztendlich erh\u00e4lt der Angreifer ein Kerberos-Ticket (TGT), mit dem er die Identit\u00e4t eines beliebigen Ger\u00e4ts im Netzwerk, einschlie\u00dflich eines Dom\u00e4nencontrollers, annehmen k\u00f6nnte.<\/p>\n

Einziges Problem ist es, einen Rechner zu zwingen, die Authentifizierung gegen\u00fcber einem Remote-Server durchzuf\u00fchren. Eine M\u00f6glichkeit w\u00e4re die Verwendung der Funktion RpcRemoteFindFirstPrinterChangeNotification der MS-RPRN-Druck-API. Ein Angreifer, der einen Dom\u00e4nenbenutzer\/Computer kontrolliert, kann mit einem bestimmten RPC-Aufruf den Spooler-Dienst eines Ziels, auf dem er l\u00e4uft, ausl\u00f6sen und ihn dazu bringen, sich bei einem Ziel seiner Wahl zu authentifizieren\", verr\u00e4t Hacker.recipes in einem Blogbeitrag<\/a>.<\/p>\n

Der Angreifer ben\u00f6tigt aber Zugriff auf die Dom\u00e4ne (d. h. ein kompromittiertes Konto), damit dieser Angriff funktioniert. Denn es wird ein RPC-Aufruf in der SMB-\u201ePipe\" \u00fcber die IPC$-Freigabe f\u00fcr den Angriff ben\u00f6tigt. Diese Schwachstelle kann prinzipiell nicht geschlossen werden und ist standardm\u00e4\u00dfig in allen Windows-Umgebungen aktiviert, hei\u00dft es dazu. Seit dieser Angriff bekannt wurde, haben viele Organisationen MS-RPRN deaktiviert, um den Angriffsvektor zu blockieren.<\/p>\n

Ich hatte im Beitrag PetitPotam-Angriff erlaubt Windows Domain-\u00dcbernahme<\/a> \u00fcber diesen Sachverhalt berichtet. Einen Tag sp\u00e4ter best\u00e4tigte Microsoft dieses Angriffsszenario, von dem quasi alle Server-Betriebssysteme von Windows Server 2008 bis Windows Server 20H2 betroffen sind. Gleichzeitig macht Microsoft Vorschl\u00e4ge, wie diese Sicherheitsl\u00fccke durch Administratoren abgeschw\u00e4cht werden kann. Dom\u00e4nenadministratoren m\u00fcssen sicherstellen, dass Dienste, die eine NTLM-Authentifizierung zulassen, Schutzma\u00dfnahmen wie Extended Protection for Authentication (EPA) oder Signierungsfunktionen wie SMB-Signierung verwenden. Ich hatte \u00fcber die Details im Blog-Beitrag Microsoft liefert Workaround f\u00fcr Windows PetitPotam NTLM-Relay-Angriffe<\/a> berichtet.<\/p>\n

PetitPotam-Angriffe mit NETSH-Fitern blockieren<\/h2>\n

Am Wochenende hatte ich bereits die nachfolgenden Informationen von Benjamin Delpy auf Twitter<\/a> gelesen, wie man MS-EFSR-PetitPotam-Aufrufe \u00fcber RPC-Filter blockieren k\u00f6nne. CraigKirby<\/a> hatte auf diese betreffende M\u00f6glichkeit hingewiesen.<\/p>\n

\"PetitPotam<\/a><\/p>\n

Allerdings sagte mir diese Filtertechnik nichts und es war mir unklar, ob da was mit Bordmitteln ging. Delpy hatte aber wohl mit den Kollegen von Bleeping Computer Kontakt, die das Thema in diesem Beitrag<\/a> aufgegriffen haben. Delpy schl\u00e4gt nachfolgenden NETSH-RPC-Filter vor, der den Fernzugriff auf die MS-EFSRPC-API blockiert und damit den unauthentifizierten PetitPotam-Angriffsvektor wirksam blockiert. Dazu sind folgende Anweisungen in einen Datei block_efsr.txt<\/em><\/u> auf dem Desktop des Administratorkontos zu speichern.<\/p>\n

rpc\r\nfilter\r\nadd rule layer=um actiontype=block\r\nadd condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e\r\nadd filter\r\nadd rule layer=um actiontype=block\r\nadd condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d\r\nadd filter\r\nquit<\/code><\/pre>\n
Anschlie\u00dfend ist eine administrative EIngabeaufforderung zu \u00f6ffnen und der nachfolgende Befehl auszuf\u00fchren, um den Filter zu importieren:<\/p>\n
netsh -f %userprofile%\\desktop\\block_efsr.txt\r\n<\/pre>\n
F\u00fchrt ein Administrator dann zur Kontrolle den nachfolgenden Befehl in einer administrativen EIngabeaufforderung aus, sollten die nachfolgend gezeigten beiden Filter angezeigt werden.<\/p>\n
netsh rpc filter show filter<\/pre>\n
\"PetitPotam<\/pre>\n
Mit diesen Filtern sollte ein PetitPotam-Angriff nicht mehr funktionieren, w\u00e4hrend EFS wird weiterhin normal auf dem System genutzt werden kann. Sicherheitsforscher Will Dormann best\u00e4tigt in diesem Tweet<\/a>, dass diese Filterung funktioniert.<\/p>\n
\"PetitPotam<\/a><\/p>\n
Wichtig ist aber, dass diese nur Remote-Angriffe blockiert. Der franz\u00f6sische Sicherheitsforscher Gilles Lionel (Alias Topotam) weist in diesem Tweet<\/a> auf den Sachverhalt hin.<\/p>\n
<\/a><\/p>\n
An dieser Stelle ist mir allerdings unklar, wie gut nun der RPC-Filter sch\u00fctzt, denn die der Angreifer ben\u00f6tigt bereits Zugriff auf die Dom\u00e4ne. Sollte Microsoft jemals die API korrigieren, um diesen Angriffsvektor zu blockieren, l\u00e4sst sich dieser Filter mit dem folgenden Befehl in einer administrativen Eingabeaufforderung entfernen:<\/p>\n
netsh rpc filter delete filter filterkey=[key]<\/pre>\n
Vielleicht hilft es euch trotzdem weiter.<\/p>\n
\u00c4hnliche Artikel:<\/strong>
\nPetitPotam-Angriff erlaubt Windows Domain-\u00dcbernahme<\/a>
\nMicrosoft liefert Workaround f\u00fcr Windows PetitPotam NTLM-Relay-Angriffe<\/a>
\nHiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934<\/a>
\nNeue Infos zur Windows 10-Schwachstelle HiveNightmare<\/a>
\nPrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien<\/a>
\nMicrosoft Security Update Revisions (29. Juli 2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Sicherheitsforscher haben k\u00fcrzlich einen neuen Angriffsvektor namens PetitPotam offen gelegt. Mittels eines NTLM-Relay-Angriffs kann jeder Windows Domain Controller \u00fcbernommen werden.\u00a0 Inzwischen hat Microsoft reagiert und einen Sicherheitshinweis zu diesem Sicherheitsproblem ver\u00f6ffentlicht. Aber es gibt einen zweiten Vorschlag von Sicherheitsforschern, den … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301,3694],"tags":[4328,3288],"class_list":["post-256323","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","category-windows-10","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256323","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256323"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256323\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256323"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256323"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256323"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}