Bir Windows NTLM röle saldırısı için yakın tarihli bir güvenlik güncellemesi, Petitpotam saldırısı için daha önce karıştırılmamış bir vektör olduğu doğrulandı.
Mayıs 2022 Patch Salı günü, Microsoft, 'Windows LSA sahte güvenlik açığı' olarak etiketlenmiş ve CVE-2022-26925 olarak izlenen aktif olarak sömürülen bir NTLM bayrak saldırısı için bir güvenlik güncellemesi yayınladı.
"Kimlik doğrulanmamış bir saldırgan LSARPC arayüzünde bir yöntem çağırabilir ve etki alanı denetleyicisini NTLM kullanarak saldırgana doğrulamaya zorlayabilir. Bu güvenlik güncellemesi, LSARPC'deki anonim bağlantı denemelerini algılar ve reddetti."
Bir NTLM röle saldırısı, tehdit aktörlerinin cihazları, hatta etki alanı denetleyicilerini bile kontrol ettikleri kötü amaçlı sunuculara karşı doğrulamaya zorlamasını sağlar. Bir cihaz kimlik doğruladığında, kötü amaçlı sunucu cihazı taklit edebilir ve tüm ayrıcalıklarını kazanabilir.
Bu saldırılar, bir tehdit aktörünün alan adı üzerinde tam kontrol sahibi olmasına izin verebilecekleri için önemli sorunlardır.
Microsoft, hata hakkında çok fazla ayrıntı paylaşmasa da, düzeltmenin EFS API OpenEnEnEnEnEcryptedFilerAw (A/W) işlevini etkilediğini belirtti, bu da bunun Petitpotam saldırısı için başka bir başka bir vektör olabileceğini gösterdi.
Petitpotam, Temmuz ayında Fransız güvenlik araştırmacısı Gilles Lionel'in keşfettiği CVE-2021-36942 olarak izlenen bir NTLM bayrak saldırısıdır.
Petitpotam saldırısı, bir cihazı saldırgan kontrollü sunuculara karşı NTLM kimlik doğrulaması gerçekleştirmeye zorlamak için kimlik doğrulanmamış kullanıcıların MS-EFSRPC API'sının EFSRPCOPenFileraw işlevini kullanmasına izin verdi.
Bu saldırının bir gösterimi aşağıda görülebilir.
Microsoft, Ağustos 2021'de Petitpotam güvenlik açığının bir kısmını sabitlerken, hatanın saldırganlar tarafından istismar edilmesine izin veren hala açılmamış vektörler vardı.
Bu ay NTLM röle vektörünün Petitpotam ile ilişkili olup olmadığını doğrulamak için Microsoft ile iletişime geçtiğimizde, sorularımıza cevap vermeyen bir stok yanıtı ile yanıt verdiler.
“Mayıs ayında bir güvenlik güncellemesi yayınlandı. Güncellemeyi uygulayan veya otomatik güncellemeleri etkinleştiren müşteriler korunacaktır. Ürünlerimiz için güvenliği sürekli geliştiriyoruz ve müşterileri korunmalarını sağlamak için otomatik güncellemeleri açmaya teşvik ediyoruz. ” - Bir Microsoft sözcüsü.
Bununla birlikte, BleepingComputer o zamandan beri yakın zamanda sabit NTLM röle saldırı hatasının aslında Petitpotam saldırısı için eşleştirilmemiş bir vektörü düzelttiğini doğruladı.
Microsoft'un yeni NTLM bayrak yaratıcılığının keşfi için nitelendirilen Raphael John, Petitpotam'ın Ocak ve Mart aylarında Pentests yaparken hala çalıştığını keşfettiğini söyledi.
CVE-2022-26925'in arkasındaki hikaye gelişmiş ters mühendislik değil, şanslı bir kaza;) Ocak ve Mart aylarında Pentests sırasında Petitpotam'ın DCS'ye karşı çalıştığını gördüm. 1/2
Ancak, Microsoft'a açıkladığında, Petitpotam'a atanan orijinal olandan ziyade yeni bir CVE altında sabitlediler.
Raphael John, BleepingComputer'a bir konuşmada, "Raporda sadece Petitpotam ve öğrendiğim ya da değiştiğim hiçbir şey olduğunu çok açık hale getirdim." Dedi.
Petitpotam, Microsoft'un düzeltilmesinden sonra çalışmaya devam etti çünkü Topotam Ağustos güvenlik güncellemesine bir baypas keşfetti ve Ocak 2022'de aracına ekledi.
Hayır yapmadılar. Yaptıkları hata, ilk etapta vuln'i tam olarak düzeltmemekti. @topoTam77 POC'yi RPC Auth seviyesine uyacak şekilde güncelledi ve o zaman çerçevesine yazdı (https://t.co/bitinrm7my)
Gilles, BleepingComputer'a yeni güvenlik güncellemesinin artık Petitpotam'ın EFSRPCOPenFileraw 'vektörünü düzelttiğini doğruladı, ancak diğer EFS vektörleri hala var ve saldırının çalışmasına izin verdi.
Gilles, BleepingComputer'a verdiği demeçte, "Petitpotam'ın tüm işlevleri, diğer vektörler gibi, hala efsopenfileraw dışında çalışıyor."
Yeni Petitpotam vektörleri ve diğer NTML röle saldırıları gelecekte keşfedileceğinden, Microsoft, Windows etki alanı yöneticilerinin 'Active Directory Sertifika Hizmetleri (AD CS)' destek belgesine göre NTLM röle saldırılarında belirtilen azaltmalara aşina olduklarını ileri sürüyor.
Microsoft: Windows güncellemeleri reklam kimlik doğrulama hatalarına neden olabilir
Microsoft, tüm Windows sürümlerinde yeni NTLM Rölesi Zero Day'i düzeltir
Windows 'RemotePotato0' Zero-Day resmi olmayan bir yama alır
Microsoft: SYSRV Botnet, Windows, Linux sunucularını yeni istismarlarla hedefler
Yeni kriptomingining kötü amaçlı yazılım bir Windows ordusu oluşturur, Linux Bots
Kaynak: Bleeping Computer