Новая атака PetitPotam позволяет хакерам удаленно авторизоваться на Windows-системах

PetitPotam предположительно затрагивает большинство поддерживаемых версий Windows Server.

Французский исследователь в области кибербезопасности Жиль Лионель (Gilles Lionel) обнаружил уязвимость в операционной системе Windows. Ее эксплуатация заставляет удаленные серверы Windows инициировать процесс аутентификации и затем отправить хакеру данные аутентификации NTLM или сертификаты аутентификации.Проблема получила название PetitPotam, и на GitHub был опубликован PoC-код для ее эксплуатации. Злоумышленник может в своих целях использовать протокол MS-EFSRPC, который позволяет устройствам под управлением Windows выполнять операции с зашифрованными данными, хранящимися на удаленных системах.Путем отправки SMB-запросов на интерфейс MS-EFSRPC удаленной системы можно заставить компьютер инициировать процедуру аутентификации и делиться своими данными аутентификации. С помощью полученных данных преступник может осуществлять атаки ретрансляции NTLM для получения доступа к удаленным системам в той же внутренней сети.Как сообщил Жилем, отключение поддержки MS-EFSRPC не предотвращает атаку. Атака была протестирована на системах Windows Server 2016 и Windows Server 2019, но исследователи безопасности полагают, что PetitPotam затрагивает большинство поддерживаемых версий Windows Server.

Представитель Microsoft не прокомментировал данную проблему, однако компания опубликовала меры по предотвращению эксплуатации уязвимости.

Оцените статью
INSPECT.BY