Astuces

PetitPotam : dans l’attente d’un patch de Microsoft, une solution de contournement pour bloquer les appels distants EFSRPC !

>>> Mise à jour du 24 Septembre 2021 : depuis le 10 Août 2021, Microsoft a comblé la vulnérabilité qui a été assignée CVE-2021-36942… A veiller ! <<<


Actualité du 4 Août 2021

A nouveau, les paroles sages de Benjamin Delpy (alias gentilkiwi sur Twitter) ont permis de mettre en lumière une première piste de contournement face à la vulnérabilité qui, depuis le 23 Juillet 2021, affecte le protocole EFSRPC (Encrypting File System Remote ProtoCol) !

 

 

Malgré une documentation existante émanant de Microsoft (et actualisé au 28 Juillet dernier) permettant de contourner théoriquement un exploit au niveau du NTLM, il semble que cela ne suffise pas : toujours en attente d’un patch correctif, les utilisateurs pourront tenter leur chance en attendant patiemment ledit patch correctif, ou bien, en bloquant, tout simplement, les appels au niveau du RPC en appliquant un filtre.

Voici les instructions préconisées par l’auteur de mimikatz, Benjamin Delpy (via CraigKirby) :

  • Au sein d’un fichier texte (.TXT), copier-coller le texte suivant :

rpc
filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e
add filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d
add filter
quit

 

  • Nommer ce fichier-texte “block_efsr“,
  • Initialiser : > netsh -f block_efsr.txt.

 

Cela permettra de bloquer les connexions-appels distant(e)s tout en continuant d’utiliser le protocole… A veiller !

 

 

Source : Benjamin Delpy (Twitter) – 1er Août 2021 – PetitPotam : solution de contournement (filtre RPC).




  • 100% J'apprécieVS
    0% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.0