Microsoft, saldırganların windows etki alanını ele geçirmesine izin veren PetitPotam NTLM relay saldırısını engelleyen güvenlik güncelleştirmeleri yayımladı.
İlk olarak Temmuz ayında güvenlik araştırmacısı GILLES Lionel etki alanı denetleyicisini MS-EFSRPC API işlevlerini kullanarak saldırganların hazırladığı sunucuya kimlik doğrulaması yapmaya zorlayan bir güvenlik açığı keşfetmişti. Bunun üzerine Temmuz ayında Microsoft, Active Directory Sertifika Hizmetleri’ni (AD CS) hedefleyen NTLM relay saldırılarının nasıl azaltılacağını anlatan güvenlik belgesi yayınlamıştı. Tüm bunlara rağmen güvenlik araştırmacıları yeni yöntemler geliştirip zafiyetten yararlanmayı başarmışlardı.
Microsoft, bu ay yayınladığı güncellemeler ile bu zafiyeti kapattı. Yayınlanan güncellemelerin özel olarak düzenlenmiş API çağrılarını OpenEncryptedFileRawA ve OpenEncryptedFileRawW LSARPC arabirimi üzerinden engelliyor ve zafiyetin önüne geçiyor.
Microsoft, bu güncelleştirmelerin yüklenmesinin EFS API OpenEncryptedFileRaw(A/W) fonksiyonlarını kullanan yedekleme yazılımlarını etkileyebileceği konusunda uyarıyarda bulunuyor ve son olarak güncellemelerin yüklenmesinden sonrası Windows 7 Service Pack 1 veya Windows Server 2008 R2 Service Pack 1 sistemlerde yedekleme yazılımları çalışmazsa üreticiler ile iletişime geçilmesini öneriyor.
Kaynak: bleepingcomputer.com
