Microsoft telah merilis pembaruan keamanan yang memblokir serangan relay PetitPotam NTLM yang memungkinkan aktor ancaman untuk mengambil alih domain Windows.
Pada bulan Juli, peneliti keamanan GILLES Lionel, alias Topotam, mengungkapkan metode baru yang disebut PetitPotam yang memaksa pengontrol domain untuk mengautentikasi terhadap server aktor ancaman menggunakan fungsi API MS-EFSRPC.
Menggunakan vektor PetitPotam, aktor ancaman dapat menggunakan antarmuka Windows LSARPC untuk berkomunikasi dan menjalankan fungsi MS-EFSRPC API tanpa otentikasi. Fungsinya, OpenEncryptedFileRawA dan OpenEncryptedFileRawW, memungkinkan aktor ancaman untuk memaksa domain controller untuk mengautentikasi ke server relay NTLM di bawah kendali penyerang.
Pada bulan Juli, Microsoft merilis penasihat keamanan yang menjelaskan cara mengurangi serangan relay NTLM yang menargetkan Active Directory Certificate Services (AD CS).
Namun, Microsoft tidak memberikan informasi tentang pemblokiran vektor PetitPotam sampai peneliti menemukan cara mengamankannya menggunakan filter NETSH.
Sebagai bagian dari pembaruan Patch Tuesday Agustus 2021, Microsoft telah merilis pembaruan keamanan yang memblokir vektor PetitPotam (CVE-2021-36942), sehingga tidak dapat memaksa domain controller untuk mengautentikasi terhadap server lain.
Microsoft memperingatkan bahwa menginstal pembaruan ini dapat memengaruhi perangkat lunak cadangan yang menggunakan fungsi EFS API OpenEncryptedFileRaw(A/W).
Jika perangkat lunak cadangan Anda tidak lagi berfungsi setelah menginstal pembaruan ini pada Windows 7 Service Pack 1 atau Windows Server 2008 R2 Service Pack 1 dan yang lebih baru, Microsoft menyarankan Anda menghubungi pengembang perangkat lunak cadangan untuk mendapatkan versi yang diperbarui.
Selengkapnya: BleepingComputer
