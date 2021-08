Microsoft hat im Rahmen des Patch-Days auch ein Sicherheits-Update veröffentlicht, das die im Juli bekannt gewordene PetitPotam-Schwach­stelle schließt. Die Sicherheitslücke betrifft Windows Domain-Controller und andere Windows Server.

Microsoft blockiert den PetitPotam-Vektor

für Windows

Ein Forscherteam aus Frankreich hatte im Juli mit einem Proof-of-Concept die Anfälligkeit des Domain-Controllers gezeigt ( wir berichteten ). Es geht um einen sogenannten NTLM-Relay-Angriff, den sie PetitPotam getauft haben. Bedrohungsakteure können einen Domänencontroller und damit eine ganze Windows-Domäne übernehmen, wenn sie die Schwachstelle ausnutzen, denn ein Angreifer kann nach der Übernahme jeden beliebigen Befehl ausführen und so effektiv die Windows-Domäne übernehmen. Betroffen sind Windows Server-Versionen ab 2008 bis 2019.NTLM ist ein von Microsoft vor rund 30 Jahren eingeführtes Protokoll. Obwohl seit Langem bekannt ist, dass dieses Protokoll zahlreiche Designprobleme und damit Sicherheitsschwächen hat, wird es noch häufig eingesetzt. Als Teil der Patch-Day-Updates für August 2021 hat Microsoft ein Sicherheitsupdate veröffentlicht, das den PetitPotam-Vektor ( CVE-2021-36942 ) blockiert, sodass er einen Domänencontroller nicht dazu zwingen kann, sich gegenüber einem anderen Server zu authentifizieren. In der Erläuterung heißt es dazu:"Ein nicht authentifizierter Angreifer könnte eine Methode auf der LSARPC-Schnittstelle aufrufen und den Domänencontroller dazu zwingen, sich gegenüber einem anderen Server mit NTLM zu authentifizieren (CVE-2021-36942). Dieses Sicherheitsupdate blockiert die betroffenen API-Aufrufe OpenEncryptedFileRawA und OpenEncryptedFileRawW über die LSARPC-Schnittstelle."Microsoft warnt, dass die Installation dieses Updates Backup-Software beeinträchtigen kann: "Die EFS API OpenEncryptedFileRaw(A/W), die häufig in Sicherungssoftware verwendet wird, funktioniert weiterhin in allen Versionen von Windows (lokal und remote), außer bei der Sicherung auf oder von einem System mit Windows Server 2008 SP2. OpenEncryptedFileRaw wird unter Windows Server 2008 SP2 nicht mehr funktionieren".Die Anbieter von Backup-Software arbeitet aber laut Microsoft mit ihnen gemeinsam an einer Lösung. Die Entwickler werden so schnell wie möglich Updates für die Sicherungssoftware herausgeben.