{"id":256811,"date":"2021-08-20T00:13:12","date_gmt":"2021-08-19T22:13:12","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256811"},"modified":"2022-02-25T01:18:29","modified_gmt":"2022-02-25T00:18:29","slug":"2-0patch-fix-fr-windows-petitpotam-0-day-schwachstelle-19-aug-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/20\/2-0patch-fix-fr-windows-petitpotam-0-day-schwachstelle-19-aug-2021\/","title":{"rendered":"2. 0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Sicherheitsforscher hatten k\u00fcrzlich einen neuen Angriffsvektor namens PetitPotam<\/em> offen gelegt. Mittels eines NTLM-Relay-Angriffs kann jeder Windows Domain Controller von Angreifern \u00fcbernommen werden. ACROS Security hat nun bereits die zweite kostenlose 0Patch-L\u00f6sung f\u00fcr verschieden Windows Server-Versionen vorgelegt, die die Ausnutzung der Schwachstelle verhindert.<\/p>\n

<\/p>\n

Die PetitPotam-Schwachstelle<\/h2>\n

Der franz\u00f6sische Sicherheitsforscher Gilles Lionel (Alias Topotam) hatte im Juli 2021 ein Proof of Concept (PoC) zur Ausnutzung eines NTLM-Relay-Angriffs ver\u00f6ffentlicht, mit dem Windows Domain Controller \u00fcbernommen werden k\u00f6nnen. Es gibt eine Methode, um einen Dom\u00e4nencontroller zu zwingen, sich gegen\u00fcber einem b\u00f6sartigen NTLM-Relay zu authentifizieren. Dies erm\u00f6glicht, dann die Anfrage \u00fcber HTTP an die Active Directory-Zertifikatsdienste einer Dom\u00e4ne weiter zu\u00a0 leiten. Letztendlich erh\u00e4lt der Angreifer ein Kerberos-Ticket (TGT), mit dem er die Identit\u00e4t eines beliebigen Ger\u00e4ts im Netzwerk, einschlie\u00dflich eines Dom\u00e4nencontrollers, annehmen k\u00f6nnte.<\/p>\n

Ich hatte im Blog-Beitrag PetitPotam-Angriff erlaubt Windows Domain-\u00dcbernahme<\/a> \u00fcber dieses Szenario berichtet. Inzwischen gibt es von Microsoft einen Workaround (siehe Microsoft liefert Workaround f\u00fcr Windows PetitPotam NTLM-Relay-Angriffe<\/a>) und einen Ansatz, die Angriffe per Netsh-Filter zu blockieren (siehe PetitPotam-Angriffe auf Windows durch RPC-Filter blocken<\/a>). Eine neue M\u00f6glichkeit, die Schwachstelle zu blockieren, ist mir nun von ACROS Security unter die Augen gekommen.<\/p>\n

Die neu 0Patch-L\u00f6sung f\u00fcr PetitPotam<\/h2>\n

Das Team von ACROS Security, welches seit Jahren die 0Patch-L\u00f6sung bereitstellt, hat die PetitPotam-Schwachstelle analysiert und stellte auf die Schnelle einen Micropatch bereit, um die Schwachstelle unsch\u00e4dlich zu machen (siehe 0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)<\/a>). Nun gibt es einen \u00fcberarbeiteten Micropatch, der weitere Angriffsvektoren blockiert. Mitja Kolsek hat mich \u00fcber Twitter<\/a> auf diese kostenlose L\u00f6sung aufmerksam gemacht.<\/p>\n

\"PetitPotam<\/a><\/p>\n

Das Ganze wird in diesem Blog-Beitrag<\/a> vom 6. August 2021 von 0patch detaillierter beschrieben und wurde letztmalig am 19. August 2021 erg\u00e4nzt. Die 0patch Micropatches stehen kostenlos f\u00fcr folgende Produkte bereit:<\/p>\n

    \n
  1. Windows Server 2019<\/b> (updated with July 2021 Updates)<\/li>\n
  2. Windows Server 2016<\/b> (updated with July 2021 Updates)<\/li>\n
  3. Windows Server 2012 R2 <\/b>(updated with July 2021 Updates)<\/li>\n
  4. Windows Server 2008 R2 <\/b>(updated with January 2020 Updates, no Extended Security Updates) <\/i><\/li>\n<\/ol>\n

    Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher l\u00e4dt, finden Sie in den Blog-Posts (wie z.B. hier<\/a>).<\/p>\n

    \u00c4hnliche Artikel
    \n<\/strong>    PetitPotam-Angriff erlaubt Windows Domain-\u00dcbernahme<\/a>
    \n    Microsoft liefert Workaround f\u00fcr Windows PetitPotam NTLM-Relay-Angriffe<\/a>
    \n    HiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934<\/a>
    \n    Neue Infos zur Windows 10-Schwachstelle HiveNightmare<\/a>
    \n    PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien<\/a>
    \n    Microsoft Security Update Revisions (29. Juli 2021)<\/a>
    \n    PetitPotam-Angriffe auf Windows durch RPC-Filter blocken<\/a><\/p>\n

    Windows 7: Februar 2020-Sicherheitsupdates erzwingen<\/a> \u2013 Teil 1
    \n    Windows 7: Mit der 0patch-L\u00f6sung absichern<\/a> \u2013 Teil 2
    \n    Windows 7\/Server 2008\/R2: 0patch liefert Sicherheitspatches nach Supportende<\/a>
    \n    Windows 7\/Server 2008\/R2 Life Extension-Projekt & 0patch Probemonat<\/a>
    \n    0patch: Fix f\u00fcr Internet Explorer 0-day-Schwachstelle CVE-2020-0674<\/a>
    \n    0patch-Fix f\u00fcr Windows Installer-Schwachstelle CVE-2020-0683<\/a>
    \n    0patch-Fix f\u00fcr Windows GDI+-Schwachstelle CVE-2020-0881<\/a>
    \n    0-Day-Schwachstelle in Windows Adobe Type Library<\/a>
    \n    0patch fixt 0-day Adobe Type Library bug in Windows 7<\/a>
    \n    0patch fixt CVE-2020-0687 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1048 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1015 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1281 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1337 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1530 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1013 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec<\/a>
    \n    0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle<\/a>
    \n    0patch fixt 0-day im Internet Explorer<\/a>
    \n    0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2<\/a>
    \n    0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)<\/a>
    \n    0Patch bietet Support f\u00fcr Windows 10 Version 1809 nach EOL<\/a>
    \n    Windows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959<\/a>
    \n    0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
    \n    0patch-Fix f\u00fcr neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)<\/a>
    \n    0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

    [English]Sicherheitsforscher hatten k\u00fcrzlich einen neuen Angriffsvektor namens PetitPotam offen gelegt. Mittels eines NTLM-Relay-Angriffs kann jeder Windows Domain Controller von Angreifern \u00fcbernommen werden. ACROS Security hat nun bereits die zweite kostenlose 0Patch-L\u00f6sung f\u00fcr verschieden Windows Server-Versionen vorgelegt, die die Ausnutzung der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-256811","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256811","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256811"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256811\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256811"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256811"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256811"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}