Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (27.07.21):
Neues Advisory

Ein Angreifer kann die Schwachstelle aus der Ferne ausnutzen, um Privilegien
zu eskalieren und dadurch Informationen auszuspähen, die für weitere
Angriffe verwendet werden können.

Microsoft bestätigt die als ‘PetitPotam’ bekannte Schwachstelle und gibt an,
dass diese in Angriffen auf WIndows Domänencontroller oder andere Windows
Server ausgenutzt werden kann.

Laut Hersteller ermöglicht die Schwachstelle einen NTLM Relay-Angriff. Diese
Art von Angriffen ist dokumentiert und es stehen verschiedene Mitigationen
zur Verfügung. Microsoft gibt an, dass die Schwachstelle ausgenutzt werden
kann, wenn Active Directory Certificate Services (AD CS) nicht für den
Schutz vor NTLM Relay-Angriffen konfiguriert ist und NTLM-Authentifizierung
aktiviert ist. Der Hersteller verweist diesbezüglich auf Maßnahmen zum
Schutz von AD CS-Servern.

Verschiedene Sicherheitsforscher haben zwischenzeitlich Wege gefunden, die
Schwachstelle auf andere Art und Weise auszunutzen. Es ist anzunehmen, dass
hier jeder NTLM Relay-Angriff funktioniert, beispielsweise auch über das
Print System Remote Protocol.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-1603]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html