NCSC ønsker å informere om to mye omtalte Microsoft Windows-sårbarheter fra den siste uken.

NTLM Relay Attack: PetitPotam

Den første sårbarheten omtales av bla. Microsoft som PetitPotam [1]. Ved utnyttelse av sårbarheten kan en autentisert bruker kjøre vilkårlig kode på andre Windows-tjenere i samme domene, inkludert domenekontrollere. PetitPotam berører autentiseringprotokollen NTLM og er klassifisert som et NTLM-videresendingangrep. NTLM-videresendingangrep har lenge vært kjent for Microsoft [2], som anbefaler at NTLM-autentisering blir skrudd av som et mitigerende tiltak. Virksomheten er sårbar hvis NTLM-autentisering er påskrudd og Active Directory Certificate Services (AD CS) benyttes med en av følgende tjenester:

- - Certificate Authority Web Enrollment

- - Certificate Enrollment Web Service

I tillegg må en angriper ha domene-kredentialer i nettet for å utføre angrepet [1]. NCSC er ikke kjent med sikkerhetsoppdateringer for sårbarheten, men Microsoft har beskrevet en rekke mitigerende tiltak på sine nettsider [2, 3].

CVE-2021-36934: SeriousSAM

Den andre sårbarheten som har vært omtalt nylig er CVE-2021-36934 (uoffisielt kalt SeriousSAM) [4, 5]. Sårbarheten kan tillate en lokal autentisert bruker å kjøre kode på systemet med SYSTEM-privilegier. Dette er grunnet utvidede rettigheter i Access Control Lists (ACL) for %windir%\System32\config-mappen som gir vanlige brukere og deriblant Volume Shadow Copy service (VSS) leserettigheter til Security Account Manager (SAM) databasen [6]. Dermed kan det være laget Volume Shadow Copies med kopier av blant annet SAM database filen som en upriveligert bruker vil kunne lese [7]. Sårbarheten berører kun Windows 10 og angriper må ha mulighet til å kjøre kode på systemet for å utnytte sårbarheten til å for eksempel lese SAM data fra shadow kopiene [5]. P.t finnes det ingen sikkerhetsoppdateringer tilgjengelig, men Microsoft har publisert mitigerende tiltak på sine nettsider [5].

NCSC anbefaler at berørte virksomheter setter seg inn i sårbarhetene og vurderer Microsoft sine mitigerende tiltak og anbefalinger. NCSC er ikke kjent med aktiv utnyttelse av disse sårbarhetene i Norge, Microsoft vurderer imidlertid at det er sannsynlig at CVE-2021-36934 vil bli aktivt utnyttet. Proof of concept er tilgjengelig.

Referanser:

[1] https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

[2] https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

[3] https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2009/974926

[4] https://www.kb.cert.org/vuls/id/506989

[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

[6] https://news.sophos.com/en-us/2021/07/22/hivenightmare-aka-serioussam-vulnerability-what-to-do/

[7] https://nakedsecurity.sophos.com/2021/07/21/windows-hivenightmare-bug-could-leak-passwords-heres-what-to-do/