Vedrørende PetitPotam og CVE-2021-36934
NCSC ønsker å informere om to mye omtalte Microsoft Windows-sårbarheter fra den siste uken.
NTLM Relay Attack: PetitPotam
Den første sårbarheten omtales av bla. Microsoft som PetitPotam [1]. Ved utnyttelse av sårbarheten kan en autentisert bruker kjøre vilkårlig kode på andre Windows-tjenere i samme domene, inkludert domenekontrollere. PetitPotam berører autentiseringprotokollen NTLM og er klassifisert som et NTLM-videresendingangrep. NTLM-videresendingangrep har lenge vært kjent for Microsoft [2], som anbefaler at NTLM-autentisering blir skrudd av som et mitigerende tiltak. Virksomheten er sårbar hvis NTLM-autentisering er påskrudd og Active Directory Certificate Services (AD CS) benyttes med en av følgende tjenester:
- - Certificate Authority Web Enrollment
- - Certificate Enrollment Web Service
I tillegg må en angriper ha domene-kredentialer i nettet for å utføre angrepet [1]. NCSC er ikke kjent med sikkerhetsoppdateringer for sårbarheten, men Microsoft har beskrevet en rekke mitigerende tiltak på sine nettsider [2, 3].
CVE-2021-36934: SeriousSAM
Den andre sårbarheten som har vært omtalt nylig er CVE-2021-36934 (uoffisielt kalt SeriousSAM) [4, 5]. Sårbarheten kan tillate en lokal autentisert bruker å kjøre kode på systemet med SYSTEM-privilegier. Dette er grunnet utvidede rettigheter i Access Control Lists (ACL) for %windir%\System32\config-mappen som gir vanlige brukere og deriblant Volume Shadow Copy service (VSS) leserettigheter til Security Account Manager (SAM) databasen [6]. Dermed kan det være laget Volume Shadow Copies med kopier av blant annet SAM database filen som en upriveligert bruker vil kunne lese [7]. Sårbarheten berører kun Windows 10 og angriper må ha mulighet til å kjøre kode på systemet for å utnytte sårbarheten til å for eksempel lese SAM data fra shadow kopiene [5]. P.t finnes det ingen sikkerhetsoppdateringer tilgjengelig, men Microsoft har publisert mitigerende tiltak på sine nettsider [5].
NCSC anbefaler at berørte virksomheter setter seg inn i sårbarhetene og vurderer Microsoft sine mitigerende tiltak og anbefalinger. NCSC er ikke kjent med aktiv utnyttelse av disse sårbarhetene i Norge, Microsoft vurderer imidlertid at det er sannsynlig at CVE-2021-36934 vil bli aktivt utnyttet. Proof of concept er tilgjengelig.
Referanser:
[1] https://msrc.microsoft.com/update-guide/vulnerability/ADV210003
[3] https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2009/974926
[4] https://www.kb.cert.org/vuls/id/506989
[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934
[6] https://news.sophos.com/en-us/2021/07/22/hivenightmare-aka-serioussam-vulnerability-what-to-do/