Microsoft, PoC'u yayınlanan PetitPotam zafiyeti için acil önlemleri duyurdu

Fransız güvenlik araştırmacası Gilles Lionel tarafından, Windows işletim sisteminde uzak Windows sunucularını bir saldırganla kimlik doğrulaması yapmaya ve NTLM kimlik doğrulama ayrıntılarını veya kimlik doğrulama sertifikalarını paylaşmaya zorlamak için kullanılabilecek bir güvenlik açığı keşfedildi.

Güvenlik araştırmacası Gilles Lionel, hatayı ilk olarak geçen hafta Perşembe günü tespit etti ve ayrıca saldırıyı göstermek için PoC (kavram kanıtı olarak) yayınladı. Ertesi gün ise Microsoft  tarafından sistemleri korumak için geçici ve hafifletici çözüm içeren bir danışma belgesi yayınladı.

PetitPotam açığı, Windows işletim sistemine ve Şifreleme Dosya Sistemi Uzak Protokolü (MS-EFSRPC) adlı bir uzaktan erişim protokolünün kötüye kullanılmasıyla ortaya çıkmış. Bu sayede tehdit aktörleri, NTLM kimlik doğrulama Hash’ını ele geçirerek hedef cihazda kimlik doğrulama süreçlerini atlatabilmektedir.

PetitPotam ile ilgili yayınlanan PoC’un işlevselliğine bakıldığında, bir saldırganın uzak bir sistemin MS-EFSRPC arabirimine SMB istekleri göndermesine ve kurban bilgisayarında bir kimlik doğrulama prosedürü başlatmaya ve kimlik doğrulama ayrıntılarını paylaşmaya zorlamasına olanak tanıyor.

Güvenlik araştırmacıları tarafından ilgili açık Windows Server 2016 ve Windows Server 2019 sürümlerinde yapılmış fakat PetitPotam’ın bugün desteklenen çoğu Windows Server sürümünü etkilediğine inanılıyor.

Microsoft  tarafından sistemleri korumak için geçici ve hafifletici çözüm içeren bir danışma belgesi yayınladı. Bu saldırıdan korunma yöntemi olarak Microsoft tarafından, müşterilerin etki alanı denetleyicisinde NTLM kimlik doğrulamasını geçici olarak devre dışı bırakılması öneriliyor.

Sonuç olarak PetitPotam, PrintNightmare ve SeriousSAM (diğer adıyla HiveNightmare) güvenlik açıklarından sonra geçen ay içinde açıklanan üçüncü büyük Windows güvenlik sorununu olarak karşımıza çıkıyor.