2021-1603: Microsoft Windows Server, PetitPotam: Eine Schwachstelle ermöglicht die Eskalation von Privilegien

Historie:

Version 1 (2021-07-27 12:27)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer kann die Schwachstelle aus der Ferne ausnutzen, um Privilegien zu eskalieren und dadurch Informationen auszuspähen, die für weitere Angriffe verwendet werden können.

Microsoft bestätigt die als 'PetitPotam' bekannte Schwachstelle und gibt an, dass diese in Angriffen auf WIndows Domänencontroller oder andere Windows Server ausgenutzt werden kann.

Laut Hersteller ermöglicht die Schwachstelle einen NTLM Relay-Angriff. Diese Art von Angriffen ist dokumentiert und es stehen verschiedene Mitigationen zur Verfügung. Microsoft gibt an, dass die Schwachstelle ausgenutzt werden kann, wenn Active Directory Certificate Services (AD CS) nicht für den Schutz vor NTLM Relay-Angriffen konfiguriert ist und NTLM-Authentifizierung aktiviert ist. Der Hersteller verweist diesbezüglich auf Maßnahmen zum Schutz von AD CS-Servern.

Verschiedene Sicherheitsforscher haben zwischenzeitlich Wege gefunden, die Schwachstelle auf andere Art und Weise auszunutzen. Es ist anzunehmen, dass hier jeder NTLM Relay-Angriff funktioniert, beispielsweise auch über das Print System Remote Protocol.

Schwachstellen:

ADV210003

Schwachstelle in MS-EFSRPC ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.