Windows: la vulnérabilité PetitPotam obtient un correctif gratuit non officiel

0

Un correctif non officiel gratuit est désormais disponible pour empêcher les attaquants de s’emparer des contrôleurs de domaine et de compromettre des domaines Windows entiers via des attaques PetitPotam.

Le vecteur d’attaque PetitPotam qui oblige les machines Windows à s’authentifier contre les serveurs relais NTLM malveillants des acteurs malveillants à l’aide du protocole Microsoft Encrypting File System Remote Protocol (EFSRPC) a été divulgué le mois dernier par le chercheur en sécurité Gilles Lionel (alias Topotam).

En utilisant cette méthode d’attaque, les acteurs malveillants peuvent s’emparer complètement des domaines Windows, ce qui leur permet d’appliquer de nouvelles stratégies de groupe et de déployer des logiciels malveillants (y compris des ransomwares) sur tous les points de terminaison.

En juillet, Microsoft a publié un avis de sécurité expliquant comment atténuer les attaques par relais NTLM ciblant les services de certificats Active Directory (AD CS) et indiquant que les serveurs vulnérables ne sont pas correctement configurés.

Bien que l’avis de Microsoft soit conçu pour aider à prévenir les attaques par relais NTLM, il ne fournit aucune indication sur la manière de bloquer réellement PetitPotam, qui pourrait également être utilisé comme vecteur pour d’autres attaques telles que les rétrogradations NTLMv1.

Un micropatch gratuit disponible pour PetitPotam

Le service de micropatching 0patch a publié un correctif non officiel gratuit qui peut être utilisé pour bloquer les attaques par relais NTLM PetitPotam sur les versions Windows suivantes:

  • Windows Server 2019 (avec mises à jour de Juillet 2021)
  • Windows Server 2016 (avec mises à jour de Juillet 2021)
  • Windows Server 2012 R2 (avec mises à jour de Juillet 2021)
  • Windows Server 2008 R2 (avec mises à jour de Janvier 2020) 

Aucun micropatch n’a été publié pour Windows Server 2012 (non R2), Windows Server 2008 (non R2) et Windows Server 2003 car, selon l’analyse de 0patch, ces versions ne sont pas impactées par PetitPotam.

Pour installer le micropatch sur votre système, vous devez d’abord créer un compte 0patch, puis installer l’agent 0patch.

« Les micropatchs pour cette vulnérabilité sont, comme toujours, automatiquement téléchargés et appliqués à tous les ordinateurs concernés (à moins que votre politique ne l’empêche) et seront gratuits jusqu’à ce que Microsoft ait publié un correctif officiel », a déclaré Mitja Kolsek, co-fondateur de 0patch.

Si vous ne pouvez pas déployer immédiatement l’un de ces correctifs temporaires, vous pouvez également vous défendre contre les attaques PetitPotam à l’aide de filtres NETSH RPC qui bloquent l’accès à distance à l’API MS-EFSRPC, supprimant ainsi efficacement le vecteur d’attaque PetitPotam non authentifié.

Laisser un commentaire