Microsoft, Yeni PetitPotam Windows NTLM Relay Zafiyeti İçin Bilgilendirme Yayınladı

Windows NTLM Relay saldırısı için yakın zamanda yapılan bir güvenlik güncelleştirilmiş PetitPotam saldırısı için önceden düzeltilmemiş bir saldırı vektör olduğu doğruladı. Mayıs salı 2022 yaması sırasında Microsoft, ‘Windows LSA Spoofing Güvenlik Açığı’ olarak etiketlenen ve  CVE-2022-26925 olarak izlenen ve etkin olarak yararlanılan bir NTLM Relay saldırısı için bir güvenlik güncelleştirmesi yayınladı.

Petitotam’ın bir parçası olduğu onaylandı

PetitPotam , Fransız güvenlik araştırmacısı GILLES Lionel’in Temmuz ayında  keşfettiği  CVE-2021-36942 olarak izlenen bir NTLM Relay saldırısı. PetitPotam saldırısı, kimliği doğrulanmamış kullanıcıların bir cihazı, saldırgan kontrollü sunuculara karşı NTLM kimlik doğrulaması gerçekleştirmeye zorlamak için MS-EFSRPC API’sinin EfsRpcOpenFileRaw işlevini kullanmasına izin verdi.

Microsoft, yeni NTLM Relay güvenlik açığının Raphael John’ın penttestleri gerçekleştirirken keşfettiğini söyledi.

The story behind CVE-2022-26925 is no advanced reverse engineering, but a lucky accident 😉
During my pentests in January and March i saw that PetitPotam worked against the DCs. 1/2

— Raphael (@raphajohnsec) May 11, 2022

PetitPotam, Microsoft düzelttikten sonra çalışmaya devam etti.

No they didn't. The mistake they made was to not fully fix the vuln in the first place 🙃. @topotam77 just updated the PoC to match the RPC auth level and type in that time frame (https://t.co/bItINRm7my)

— Charlie Bromberg “Shutdown” (@_nwodtuhs) May 12, 2022

Gilles, yeni güvenlik güncellemesinin PetitPotam ‘EfsRpcOpenFileRaw’ vektörünü düzelttiğini onayladı, ancak saldırının çalışmasına izin veren başka EFS vektörleri hala var olduğunu belirtti.

Kaynak: bleepingcomputer.com