Funktion i Windows kan användas för nya angrepp.

Säkerhetsforskare har upptäckt att en funktion i Windows kan användas för att tvinga Windows-servrar att autentisera med en angripare och läcka NTLM-konton eller certifikat. [1,2,3]Vissa oklarheter verkar finnas om detta angrepp kan utföras över internet, dock sker angreppet över port TCP/445 varför det är viktigt att se till att denna port ej är exponerad mot internet.

Påverkade produkter

Windows server, alla versioner

Rekommendationer

Microsoft har publicerat åtgärder som beskriver hur man gör ändringar i systemet vilka motverkar att funktionen kan utnyttjas. CERT-SE rekommenderar att följa tillverkarens råd och att även blockera åtkomst mot port TCP/445 från internet till windows-servrar. [4,5]

Källor

[1] https://github.com/topotam/PetitPotam

[2] https://therecord.media/new-petitpotam-attack-forces-windows-hosts-to-share-their-password-hashes/

[3] https://isc.sans.edu/diary/rss/27668

[4] https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

[5] https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429