0patch опубликовал собственный патч для вектора атаки PetitPotam в Windows

Вышел второй неофициальный патч, призванный защитить пользователей Windows от вектора атаки на ретрансляцию NTLM (NTLM relay) — PetitPotam. Специалисты 0patch продолжают латать то, что пропустили разработчики Microsoft в последнем апдейте.

Вкратце напомним, что с помощью PetitPotam киберпреступники могут захватить контроллер доменов и другие серверы, работающие на Windows.

Как объяснял обнаруживший вектор атаки специалист Гиллес Лайонел (https://twitter.com/topotam77 Topotam), злоумышленник может заставить уязвимое устройство аутентифицироваться на удалённом ретрансляторе, находящимся под контролем злоумышленников.

В прошлом Microsoft уже предпринимала попытки пропатчить дыру, которая отслеживается под идентификатором CVE-2021-36942. Например, разработчики предложили свой вариант заплатки с выходом августовского набора патчей.

«Прошедший аутентификацию атакующий может задействовать интерфейс LSARPC и заставить контроллер домена аутентифицироваться на другом сервере», — описывала Microsoft брешь.

К сожалению, обновления не до конца устранили проблему, поскольку на данный момент потенциальные злоумышленники всё ещё могут использовать PetitPotam в атаке. Лайонел, например, подчеркнул, что после установки патчей остались как минимум три функции, представляющие угрозу.

Тут на помощь пришли специалисты 0patch, которые и раньше не раз выпускали неофициальные заплатки, помогающие защитить пользователей от эксплуатации известных уязвимостей. В этот раз эксперты опубликовали обновлённый патч, блокирующий все попытки использования PetitPotam.