Ücretsiz gayri resmi bir yama, saldırganların etki alanı denetleyicilerini devralmasını engellemek ve PETITPOTAM NTLM Röle saldırıları üzerinden Windows etki alanlarını ödün vermek için hazırdır.
Petitpotam, Windows makinelerini, Microsoft Şifreleme Dosya Sistemi Uzak Protokolü'nü (EFSRPC) kullanarak, tehdit aktörlerinin kötü niyetli NTLM röle sunucularına karşı kimlik doğrulaması için kimliğini doğrulayacak şekilde onaylayan ve güvenlik araştırmacısı Gilles Lionel (aka topotam) tarafından açıklandı.
Bu saldırı yöntemini kullanarak, tehdit aktörleri, tüm uç noktalarda yeni grup politikalarını zorlamalarına ve kötü amaçlı yazılımları (Ransomware dahil) dağıtmalarını sağlayan, Windows etki alanlarını tamamen alabilirler.
Temmuz ayında, Microsoft, Active Directory sertifikası hizmetlerini (AD CS) hedefleyen NTLM röle saldırılarını nasıl azaltacağını ve savunmasız sunucuların doğru şekilde yapılandırılmadığını söyleyen bir güvenlik danışmanlığı yayınladı.
Microsoft'un Tavsiyesi, NTLM röle saldırılarını önlemeye yardımcı olmak için tasarlanmış olsa da, NTLMV1 DownGrades gibi diğer saldırılar için bir vektör olarak da kullanılabilecek Petitpotam'ın nasıl kullanılacağı konusunda herhangi bir rehberlik etmemektedir.
0Patch MicroPatching Servisi bugün, Petitpotam NTLM röle saldırılarını aşağıdaki Windows sürümünde engellemek için kullanılabilecek ücretsiz bir resmi olmayan yamayı serbest bıraktı:
Windows Server 2012 (R2 olmayan), Windows Server 2008 (R2 olmayan) ve Windows Server 2003 için mikropatch yayınlanmadı, çünkü 0patch'un analizine dayanarak, bu sürümler petitpotam tarafından etkilenmez.
MicroPatch'ı sisteminize yüklemek için önce bir 0Patch hesabı kaydetmeniz ve ardından 0Patch Agent'ı yüklemeniz gerekir.
"Bu güvenlik açığı için mikropatches, her zaman olduğu gibi, otomatik olarak etkilenen tüm bilgisayarlara otomatik olarak indirilir ve uygulanır (politikanız bunu önlemediği sürece) ve Microsoft'un bir resmi düzeltme yapana kadar ücretsiz olacaktır" dedi.
Bu geçici yamalardan hemen birini dağıtamazsanız, MS-EFSRPC API'sine uzaktan erişimi engelleyen Netsh RPC filtreleri kullanarak Petitpotam saldırılarına karşı da savunabilirsiniz.
Yeni Windows PrintNightMare Sıfır Günleri Ücretsiz Resmi olmayan yama alın
Windows PetitPotam saldırıları yeni yöntem kullanılarak engellenebilir
Aktif olarak sömürülen PripnightMare sıfır gün resmi olmayan yama alır
65 $ için 1 yıl kabuklu herhangi bir cihaza herhangi bir sanal makine başlatın
Windows yöneticileri şimdi katmanlı grup politikası ile harici aygıtları engelleyebilir
Kaynak: Bleeping Computer