قد يؤثر تثبيت التحديث على برنامج النسخ الاحتياطي الذي يستخدم وظائف OpenEncryptedFileRaw (A / W) EFS API.
أصدرت Microsoft تحديثًا أمنيًا يمنع هجمات PetitPotam التي قد تسمح للمهاجمين بالتحكم في مجال Windows.
في يوليو من هذا العام، الباحث الأمني جيل ليونيل، المعروف أيضا باسم Topotam، قدم طريقة جديدة تسمى PetitPotam، والتي يمكن للمهاجم فرض وحدة تحكم المجال لمصادقة الخادم تحت سيطرتها باستخدام وظائف API MS-EFSRPC.
كما أوضح الباحث ، يمكن للمهاجم التواصل وتنفيذ وظائف MS-EFSRPC API من خلال واجهة Windows LSARPC بدون مصادقة. تسمح هاتان الوظيفتان ، OpenEncryptedFileRawA و OpenEncryptedFileRawW ، للمهاجمين بإجبار وحدة تحكم المجال على المصادقة على خادم NTLM الخاص بها.
يقوم مرحل NTLM بإعادة توجيه الطلب إلى خدمات شهادات Active Directory الخاصة بالضحية عبر HTTP للحصول على Kerberos TGT ، مما يسمح للمهاجم بالحصول على هوية أي جهاز على الشبكة ، بما في ذلك وحدة تحكم المجال.
أصدرت Microsoft إشعارًا أمنيًا الشهر الماضي أوضح كيفية منع هجمات الترحيل على خدمات شهادات Active Directory (AD CS) ، لكنها لم تقدم أي نصيحة حول كيفية منع ناقل هجوم PetitPotam.
كجزء من August Patch Tuesday ، أصدرت الشركة تصحيحًا يمنع ناقل هجوم PetitPotam ( CVE-2021-36942 ).
"يمكن لمهاجم غير مصرح له استدعاء طريقة على واجهة LSARPC وإجبار وحدة التحكم بالمجال على مصادقة خادم آخر باستخدام NTLM. يحظر تحديث الأمان هذا المكالمات إلى واجهات برمجة التطبيقات المتأثرة OpenEncryptedFileRawA و OpenEncryptedFileRawW من خلال واجهة LSARPC "، وفقًا لإشعار أمان Microsoft.
كما حذرت الشركة من أن تثبيت التحديث قد يؤثر على برنامج النسخ الاحتياطي الذي يستخدم وظائف OpenEncryptedFileRaw (A / W) EFS API.
يستمر EFS API OpenEncryptedFileRaw (A / W) ، المستخدم بشكل شائع في برامج النسخ الاحتياطي ، في العمل على جميع إصدارات Windows (المحلية والبعيدة) ، باستثناء Windows Server 2008 SP2. حذرت Microsoft من أن OpenEncryptedFileRaw لم يعد يعمل على Windows Server 2008 SP2.
0 تعليقات