Новая атака PetitPotam позволяет хакерам удаленно авторизоваться на Windows-системах

Французский исследователь в области кибербезопасности Жилем Лионелем (Gilles Lionel) обнаружил уязвимость в операционной системе Windows. Ее эксплуатация заставляет удаленные серверы Windows инициировать процесс аутентификации и затем отправить хакеру данные аутентификации NTLM или сертификаты аутентификации.

Проблема получила название PetitPotam, и на GitHub был опубликован PoC-код для ее эксплуатации. Злоумышленник может в своих целях использовать протокол MS-EFSRPC, который позволяет устройствам под управлением Windows выполнять операции с зашифрованными данными, хранящимися на удаленных системах.

Путем отправки SMB-запросов на интерфейс MS-EFSRPC удаленной системы можно заставить компьютер инициировать процедуру аутентификации и делиться своими данными аутентификации. С помощью полученных данных преступник может осуществлять атаки ретрансляции NTLM для получения доступа к удаленным системам в той же внутренней сети.

Как сообщил Жилем, отключение поддержки MS-EFSRPC не предотвращает атаку. Атака была протестирована на системах Windows Server 2016 и Windows Server 2019, но исследователи безопасности полагают, что PetitPotam затрагивает большинство поддерживаемых версий Windows Server. Представитель Microsoft не прокомментировал данную проблему, однако компания опубликовала меры по предотвращению эксплуатации уязвимости.