La vulnerabilidad de Windows PetitPotam obtiene un parche gratuito no oficial

Ahora se encuentra disponible un parche no oficial gratuito para evitar que los atacantes se hagan cargo de los controladores de dominio y comprometan dominios completos de Windows a través de ataques de reenvío PetitPotam NTLM.

El vector de ataque PetitPotam que obliga a las máquinas con Windows a autenticarse contra reenviadores NTLM maliciosos de amenazas mediante el protocolo remoto del sistema de cifrado de archivos de Microsoft (EFSRPC) fue revelado el mes pasado por el investigador de seguridad Gilles Lionel (también conocido como topotam).

Con este método de ataque, los actores de amenazas pueden tomar el control total de los dominios de Windows, lo que les permite aplicar nuevas políticas de grupo y distribuir malware (incluido el ransomware) en todos los puntos finales.

En julio, Microsoft lanzó un aviso de seguridad explicando cómo mitigar los ataques de reenvío NTLM que tienen como objetivo los Servicios de certificados de Active Directory (AD CS) y diciendo que los servidores vulnerables no están configurados correctamente.

Aunque la advertencia de Microsoft está diseñada para ayudar a prevenir los ataques de reenvío de NTLM, no proporciona ninguna orientación sobre cómo bloquear realmente PetitPotam, que también podría usarse como un vector para otros ataques como las degradaciones de NTLMv1.

Microparche PetitPotam gratuito disponible

El 0 servicio de microparches lanzó hoy un parche no oficial gratuito que se puede usar para bloquear ataques de retransmisión NTLM PetitPotam en la siguiente versión de Windows:

  • Windows Server 2019 (actualizado con actualizaciones de julio de 2021)
  • Windows Server 2016 (actualizado con actualizaciones de julio de 2021)
  • Windows Server 2012 R2 (actualizado con actualizaciones de julio de 2021)
  • Windows Server 2008 R2 (actualizado con actualizaciones de enero de 2020, sin actualizaciones de seguridad extendidas)

No se han lanzado microparches para Windows Server 2012 (no R2), Windows Server 2008 (no R2) y Windows Server 2003 porque, según el análisis de 0patch, estas versiones no se ven afectadas por PetitPotam.

Para instalar el microparche en su sistema, primero debe registrar una cuenta de parche y luego instale el 0 agente de parche.

"Los microparches para esta vulnerabilidad, como siempre, se descargan y aplican automáticamente a todas las computadoras afectadas (a menos que su política lo impida) y serán gratuitos hasta que Microsoft publique una solución oficial", dijo el cofundador de 0patch Mitja Kolsek. Ella dijo.

Si no puede implementar inmediatamente uno de estos parches temporales, también puede defenderse de los ataques de PetitPotam mediante el uso de filtros NETSH RPC que bloquean el acceso remoto a la API MS-EFSRPC, eliminando eficazmente el vector de ataque PetitPotam no autenticado.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings