PetiPotam – новый недостаток безопасности Windows

Исследователь безопасности Жиль Лионель обнаружил новую атаку NTLM relay, которая позволяет хакерам захватывать домены Windows, сообщает Hacker News. Брешь в системе безопасности под названием PetiPotam в операционной системе Windows может быть использована для принуждения удаленных серверов Windows, включая контроллеры домена, к аутентификации со злонамеренным адресатом, что позволяет злоумышленнику организовать атаку ретрансляции NTLM и полностью захватить домен Windows.

На прошлой неделе Жиль Лионель поделился техническими деталями и кодом подтверждения концепции (PoC), отметив, что этот недостаток работает, заставляя «хосты Windows аутентифицироваться на других машинах с помощью функции MS-EFSRPC EfsRpcOpenFileRaw».