ИБ-эксперты представили метод защиты от атак PetitPotam на Windows-системы

Исследователи в области кибербезопасности нашли способ заблокировать недавно обнаруженный вектор атаки PetitPotam, позволяющий хакерам легко получить контроль над Windows-системами.

Напомним, в прошлом месяце французский исследователь в области кибербезопасности Жиль Лионель (Gilles Lionel) обнаружил уязвимость в операционной системе Windows. Путем отправки SMB-запросов на интерфейс MS-EFSRPC удаленной системы можно заставить компьютер инициировать процедуру аутентификации и делиться своими данными аутентификации.

С помощью атаки PetitPotam злоумышленник может получить полный контроль над Windows-системой, включая распространение новых групповых политик, сценариев и установку вредоносных программ.

«Для предотвращения атак на NTLM Relay в сетях с включенным NTLM администраторы домена должны убедиться, что службы, разрешающие NTLM-аутентификацию, используют такие средства защиты, как Extended Protection for Authentication (EPA) или функции подписи, такие как подписывание SMB», — рекомендовали специалисты Microsoft.

Хотя предложения Microsoft могут предотвратить атаки с ретрансляцией NTLM, они не содержат никаких указаний по блокировке PetitPotam, которая может использоваться в качестве вектора для других атак.

Однако исследователи нашли способ заблокировать вектор удаленной неаутентифицированной атаки PetitPotam с помощью фильтров NETSH, не затрагивая при этом локальную функциональность EFS. NETSH — служебная программа командной строки Windows, позволяющая администраторам настраивать сетевые интерфейсы, добавлять фильтры и изменять конфигурацию межсетевого экрана Windows. ИБ-эксперт Крейг Кирби (Craig Kirby) поделился в Сети фильтром NETSH RPC, который блокирует удаленный доступ к API MS-EFSRPC, эффективно защищая от атак PetitPotam.