{"id":258040,"date":"2021-09-26T01:03:26","date_gmt":"2021-09-25T23:03:26","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=258040"},"modified":"2021-09-26T01:05:03","modified_gmt":"2021-09-25T23:05:03","slug":"windows-schwachstelle-cve-2021-36942-petitpotam-und-dcom-hrtung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/26\/windows-schwachstelle-cve-2021-36942-petitpotam-und-dcom-hrtung\/","title":{"rendered":"Windows-Schwachstelle CVE-2021-36942 (Petitpotam) und DCOM-Härtung"},"content":{"rendered":"

\"Windows\"Sicherheitsforscher hatten im Juli 2021 einen neuen Angriffsvektor namens PetitPotam<\/em> f\u00fcr einen NTLM-Relay-Angriff offen gelegt. Mit einem Angriff kann jeder Windows Domain Controller von Angreifern \u00fcbernommen werden. Das Ganze wurde zum 10. August 2021 mittels Sicherheitsupdates gepatcht. Die Woche erreichte mich zudem eine R\u00fcckmeldung, dass es nach der H\u00e4rtung des DCOM-Systems, m\u00f6glicherweise durch die September 2021-Updates, zu einem Fehler in der Ereignisanzeige gekommen sei. Ich fasse die Informationen in einem Blog-Beitrag zusammen und stelle diese zur Information hier im Blog ein.<\/p>\n

<\/p>\n

\"\"Die PetitPotam-Schwachstelle<\/h2>\n

Aus der Schweiz wurde ich die Tage von Daniela S. kontaktiert, die mich darauf hinwies, dass die PetitPotam-Schwachstelle im August 2021 gepatcht worden sei:<\/p>\n

\n

PetitPotam:  Etwas sp\u00e4t sind wir auf einen Bericht gesto\u00dfen, als wir uns mit der PetitPotam-Schwachstelle besch\u00e4ftigt haben, dass die L\u00fccke im August geschlossen worden sei… Da wir in Ihrem Blog diverse Infos dazu gefunden haben, bezgl. Patches jedoch nur die 0Patch-Infos, wollten wir Sie gerne darauf aufmerksam machen. Allenfalls haben Sie dazu ja noch einen Bericht geplant oder haben weitere Hinweise von anderen Lesern. :)<\/p>\n<\/blockquote>\n

Ich hatte das zwar am Rande mit dem Patch mitbekommen, aber im Blog nicht explizit thematisiert. Der Hintergrund des Ganzen: Der franz\u00f6sische Sicherheitsforscher Gilles Lionel (Alias Topotam) hatte im Juli 2021 ein Proof of Concept (PoC) zur Ausnutzung eines NTLM-Relay-Angriffs ver\u00f6ffentlicht, mit dem Windows Domain Controller \u00fcbernommen werden k\u00f6nnen (siehe auch PetitPotam-Angriff erlaubt Windows Domain-\u00dcbernahme<\/a>). Er benutzt dazu eine Methode, um einen Dom\u00e4nencontroller zu zwingen, sich gegen\u00fcber einem b\u00f6sartigen NTLM-Relay zu authentifizieren. Dies erm\u00f6glicht, dann die Anfrage \u00fcber HTTP an die Active Directory-Zertifikatsdienste einer Dom\u00e4ne weiter zu  leiten. Letztendlich erh\u00e4lt der Angreifer ein Kerberos-Ticket (TGT), mit dem er die Identit\u00e4t eines beliebigen Ger\u00e4ts im Netzwerk, einschlie\u00dflich eines Dom\u00e4nencontrollers, annehmen k\u00f6nnte.<\/p>\n

Betroffen waren alle noch im Support befindlichen Windows Server-Varianten (von Windows Server 2008 bis Windows Server 2019). Diese sogenannte Windows LSA Spoofing-Schwachstelle CVE-2021-36942<\/a> wurde zum 10. August 2021 mit den regul\u00e4ren Sicherheitsupdates geschlossen (hatte ich im Blog aber nicht explizit thematisiert). Allerdings gab es einen weiteren Angriffsvektor, f\u00fcr den dann Acros-Security einen 0patch-Fix bereitstellte (siehe 2. 0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)<\/a>).<\/p>\n

Fehler nach DCOM-H\u00e4rtung per September 2021-Patch<\/h2>\n

In der gleichen Mail schrieb mir Daniela S. etwas \u00fcber die Erfahrungen, die sie im Unternehmen mit den Sicherheitsupdates vom September 2021 gemacht hatte.<\/p>\n

\n

DCOM-H\u00e4rtung: Nach der Installation des September-Patches auf unserem Testserver sind wir auf eine neue Fehlermeldung (DistributedCOM ID 10036) gesto\u00dfen. Hier der DCOM-Fehler zur Info:  <\/p>\n

<\/p>\n

Die DCOM-H\u00e4rtung hatten wir nicht auf dem Radar [diese ist beschrieben in]. <\/p>\n

How to test the impact of new Windows DCOM Server authentication<\/a> <\/p>\n

oder auch <\/p>\n

Security Advisory: Windows' Event Viewer Service Vulnerable to NTLM Relay Attacks<\/a> <\/p>\n

Wir sind uns nicht sicher, ob hier mit dem September-Patch nun bereits etwas geh\u00e4rtet wurde, da sind wir noch am Recherchieren. Microsoft hat bezgl. dieser L\u00fccke im Juni ja bereits zu patchen begonnen (siehe Blog-Beitrag Windows: Juni 2021-Updates (KB5003637 etc.) k\u00f6nnen Remote-Zugriff auf Ereignisse blocken<\/a>, hier in Zusammenhang mit CVE-2021-31958<\/a>). <\/p>\n

Ev. als Hinweis, bei uns ist der zu setzende Reg-Key (RequireIntegrityActivationAuthenticationLevel = 1) noch nicht gesetzt. <\/p>\n

Da im 4. Quartal 21 die zweite Phase beginnt, ist das ev. f\u00fcr Administratoren noch interessant…Ende 21 bzw. Anfang 22 soll es ja dann geh\u00e4rtet werden und nicht mehr deaktiviert werden k\u00f6nnen. (Quelle<\/a> CVE-2021-26414<\/a>. (Google spuckt hier leider noch nicht so viele Infos raus, weshalb wir vermuten, dass es einen Zusammenhang geben k\u00f6nnte mit dem September-Patch. Der Server mit der IP 192.168.1.7 ist momentan noch nicht gepatcht.<\/p>\n<\/blockquote>\n

\u00c4hnliche Artikel
<\/strong>PetitPotam-Angriff erlaubt Windows Domain-\u00dcbernahme<\/a>
Microsofts Workaround gegen Windows PetitPotam NTLM-Relay-Angriffe<\/a>
PetitPotam-Angriffe auf Windows durch RPC-Filter blocken<\/a>
0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)<\/a>
2. 0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Sicherheitsforscher hatten im Juli 2021 einen neuen Angriffsvektor namens PetitPotam f\u00fcr einen NTLM-Relay-Angriff offen gelegt. Mit einem Angriff kann jeder Windows Domain Controller von Angreifern \u00fcbernommen werden. Das Ganze wurde zum 10. August 2021 mittels Sicherheitsupdates gepatcht. Die Woche erreichte … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,301],"tags":[4328,4315,4325],"class_list":["post-258040","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows","tag-sicherheit","tag-update","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258040","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=258040"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258040\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=258040"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=258040"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=258040"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}