Pubblicato: Aggiornato il: 0 commenti 788 Guarda 1 minutes Leggi

Una grave vulnerabilità è stata scoperta recentemente da un ricercatore francese, vediamo i dettagli ed un workaround per la vulnerabilità PetiPotam NTLM in Windows.

La scoperta è stata fatta dal francese GIlles Lionel attraverso un PoC (proof-of-concept) nel quale si evince che l’attacco consiste nell’utilizzare il protocollo Microsoft Encrypting File System Remote per forzare un device, incluso i controller di dominio, ad autenticare una richiesta NTLM remota, condotta dall’attaccante.

Mitigazione? Disabilitare l’NTLM

Microsoft ha pubblicato una security advisory in merito, indicando che i soggetti a rischio sono i sistemi (dominio, ecc) con l’autenticazione NTLM abilitata oppure l’utilizzo dei Servizi certificati Active DIrectory (AD CS) con uno dei due servizi (o entrambi) abilitati ed attivi:

  • Certificate Authority Web Enrollment
  • Certificate Enrollment Web Service

Ovviamente vista la situazione Microsoft suggerisce di disabilitare l’autenticazione NTLM ove possibile oppure abilitare l’autenticazione attraverso SMB.

In aggiunta, la vulnerabilità non riguarda solo questo problema ma anche l’abuso della funzione EfsRpcOpenFileRaw dell’API MS-EFSRPC che passa la richiesta di autenticazione, lasciando così una porta “aperta” o in ascolto.

Su quest’ultimo problema Microsoft non si è espressa chiaramente, per questo motivo l’unica soluzione possibile è attendere un aggiornamento di sicurezza.

Angolo di Windows Logo

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

 

Contact us: [email protected]

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.