Theo BleepingComputer, các cuộc tấn công PetitPotam buộc các máy tính Windows phải xác thực chống lại các máy chủ chuyển tiếp NTLM độc hại của các tác nhân đe dọa sử dụng Microsoft Encrypting File System Remote Protocol (EFSRPC) đã được nhà nghiên cứu bảo mật Gilles Lionel (hay còn gọi là Topotam) tiết lộ vào tháng trước.
Sử dụng phương pháp tấn công này, các tác nhân đe dọa hoàn toàn có thể tiếp quản các miền của Windows, cho phép chúng thúc đẩy các chính sách nhóm mới và triển khai phần mềm độc hại (bao gồm cả ransomware) trên tất cả thiết bị đầu cuối.
Vào tháng 7, Microsoft giải thích cách giảm thiểu các cuộc tấn công chuyển tiếp NTLM nhắm mục tiêu vào Active Directory Certificate Services (AD CS) và nói các máy chủ dễ bị tấn công không được định cấu hình chính xác. Mặc dù lời khuyên của Microsoft được thiết kế để giúp ngăn chặn các cuộc tấn công chuyển tiếp NTLM, nhưng nó không cung cấp bất kỳ hướng dẫn nào về cách thực sự chặn PetitPotam.
Hiện dịch vụ sửa lỗi 0patch (0patch.com) đã phát hành một bản vá không chính thức miễn phí có thể được sử dụng để chặn các cuộc tấn công chuyển tiếp PetitPotam NTLM trên phiên bản Windows:
• Windows Server 2019 (cập nhật tháng 7.2021)
• Windows Server 2016 (cập nhật tháng 7.2021)
• Windows Server 2012 R2 (cập nhật tháng 7.2021)
• Windows Server 2008 R2 (cập nhật tháng 1.2020, không có Extended Security Updates)
Và không có bản vá nào được phát hành cho Windows Server 2012, Windows Server 2008 và Windows Server 2003 vì dựa trên phân tích của 0patch, các bản phát hành này không bị ảnh hưởng bởi PetitPotam.
Bạn có thể tải bản vá từ trang web chính thức của 0patch, tuy nhiên cần phải đăng ký thành viên của trang web trước khi thực hiện tải về.
Bình luận (0)