[JustisCERT-varsel] [#051-2021] [TLP:CLEAR] Microsoft Windows-sårbarheter «NTLM Relay Attack: PetitPotam» og «SeriousSAM»
JustisCERT formidler informasjon fra Nasjonalt Cybersikkerhetssenter (NCSC) vedrørende to Microsoft Windows-sårbarheter «NTLM Relay Attack: PetitPotam» og «SeriousSAM».
Varsel fra NCSC:
NCSC ønsker å informere om to mye omtalte Microsoft Windows-sårbarheter fra den siste uken.
NTLM Relay Attack: PetitPotam:
Den første sårbarheten omtales av bla. Microsoft som PetitPotam [1]. Ved utnyttelse av sårbarheten kan en autentisert bruker kjøre vilkårlig kode på andre Windows-tjenere i samme domene, inkludert domenekontrollere. PetitPotam berører autentiseringprotokollen NTLM og er klassifisert som et
NTLM-videresendingangrep. NTLM-videresendingangrep har lenge vært kjent for Microsoft [2], som anbefaler at NTLM-autentisering blir skrudd av som et mitigerende tiltak. Virksomheten er sårbar hvis NTLM-autentisering er påskrudd og Active Directory Certificate Services (AD CS) benyttes med en av følgende tjenester:
- Certificate Authority Web Enrollment
- Certificate Enrollment Web Service
I tillegg må en angriper ha domene-kredentialer i nettet for å utføre angrepet [1]. NCSC er ikke kjent med sikkerhetsoppdateringer for sårbarheten, men Microsoft har beskrevet en rekke mitigerende tiltak på sine nettsider [2, 3].
CVE-2021-36934 (SeriousSAM):
Den andre sårbarheten som har vært omtalt nylig er CVE-2021-36934 (uoffisielt kalt SeriousSAM) [4, 5]. Sårbarheten kan tillate en lokal autentisert bruker å kjøre kode på systemet med SYSTEM-privilegier. Dette er grunnet utvidede rettigheter i Access Control Lists (ACL) for %windir%System32config-mappen som gir vanlige brukere og deriblant Volume Shadow Copy service (VSS) leserettigheter til Security Account Manager (SAM) databasen [6]. Dermed kan det være laget Volume Shadow Copies med kopier av blant annet SAM database filen som en upriveligert bruker vil kunne lese [7]. Sårbarheten berører kun Windows 10 og angriper må ha mulighet til å kjøre kode på systemet for å utnytte sårbarheten til å for eksempel lese SAM data fra shadow kopiene [5]. P.t finnes det ingen sikkerhetsoppdateringer tilgjengelig, men Microsoft har publisert mitigerende tiltak på sine nettsider [5].
NCSC anbefaler at berørte virksomheter setter seg inn i sårbarhetene og vurderer Microsoft sine mitigerende tiltak og anbefalinger. NCSC er ikke kjent med aktiv utnyttelse av disse sårbarhetene i Norge, Microsoft vurderer imidlertid at det er sannsynlig at CVE-2021-36934 vil bli aktivt utnyttet. Proof of concept er tilgjengelig.
Referanser:
[1] https://msrc.microsoft.com/update-guide/vulnerability/ADV210003
[2] https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
[3] https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2009/974926
[4] https://www.kb.cert.org/vuls/id/506989
[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934
[6] https://news.sophos.com/en-us/2021/07/22/hivenightmare-aka-serioussam-vulnerability-what-to-do
[7] https://nakedsecurity.sophos.com/2021/07/21/windows-hivenightmare-bug-could-leak-passwords-heres-what-to-do