PetitPotam NTLM中繼攻擊允許域名被接管

微軟發(fā)布了一個(gè)新的安全公告，涉及PetitPotam。據(jù)微軟稱，這是一個(gè)典型的NTLM中繼攻擊，但是當(dāng)被利用時(shí)，它可以通過強(qiáng)迫域控制器與惡意的目的地進(jìn)行認(rèn)證而導(dǎo)致域的接管。

微軟正在經(jīng)歷一個(gè)艱難的時(shí)期，因?yàn)镻etitPotam是繼PrintNightmare和SeriousSAM漏洞之后，過去一個(gè)月披露的第三個(gè)重大Windows安全問題。

什么是PetitPotam？

PetitPotam是上周由安全研究員Gilles Lionel披露的。在他的GitHub中，他解釋了他是如何 "通過MS-EFSRPC EfsRpcOpenFileRaw函數(shù)脅迫Windows主機(jī)對(duì)其他機(jī)器進(jìn)行認(rèn)證"。

加密文件系統(tǒng)遠(yuǎn)程（EFSRPC）協(xié)議是一個(gè)用于對(duì)遠(yuǎn)程存儲(chǔ)并通過網(wǎng)絡(luò)訪問的加密數(shù)據(jù)進(jìn)行維護(hù)和管理的協(xié)議。它經(jīng)常被用來管理遠(yuǎn)程文件服務(wù)器上的文件，這些文件是使用加密文件系統(tǒng)（EFS）進(jìn)行加密的。

具體內(nèi)容詳述了該攻擊如何允許域控制器使用MS-EFSRPC對(duì)攻擊者控制下的遠(yuǎn)程N(yùn)TLM進(jìn)行認(rèn)證。

大家好，

強(qiáng)制機(jī)器身份驗(yàn)證的 MS-RPRN 很棒，但現(xiàn)在大多數(shù) orgz 上的管理員經(jīng)常禁用該服務(wù)。

這是我們用來通過 MS-EFSRPC 獲取機(jī)器帳戶身份驗(yàn)證的另一種方法。

— topotam (@topotam77)2021 年 7 月 18 日

緩解

Microsoft 發(fā)布了一份建議，其中包含有關(guān)如何緩解此類攻擊的更多詳細(xì)信息。 首選的緩解措施是在您的域中完全禁用 NTLM 身份驗(yàn)證。 為此，您可以按照 Microsoft 文檔網(wǎng)絡(luò)安全：限制 NTLM：此域中的 NTLM 身份驗(yàn)證中的步驟操作。

如果您出于兼容性原因無法在您的域上禁用 NTLM，建議的其他緩解措施如下。 它們按更安全到更不安全的順序列出： 

• 使用組策略網(wǎng)絡(luò)安全：限制 NTLM：傳入 NTLM 流量在您域中的任何 AD CS 服務(wù)器上禁用 NTLM。 如果需要，您可以根據(jù)需要使用“網(wǎng)絡(luò)安全：限制 NTLM：在此域中添加服務(wù)器例外”設(shè)置添加例外。
• 在運(yùn)行“證書頒發(fā)機(jī)構(gòu) Web 注冊(cè)”或“證書注冊(cè) Web 服務(wù)”服務(wù)的域中的 AD CS 服務(wù)器上禁用 Internet 信息服務(wù) (IIS) 的 NTLM。

要緩解各種 NTLM 中繼攻擊，請(qǐng)?jiān)诓恍枰牡胤剑ɡ?DC）禁用 NTLM 或?qū)嵤┚徑夤δ埽磳?duì)身份驗(yàn)證的擴(kuò)展保護(hù)。

— Security Response (@msftsecresponse) 2021 年 7 月 24 日

在 Lansweeper 相關(guān)注釋中，NTLM 用作 Kerberos 的后備方法。 所以在大多數(shù)情況下，禁用 NTLM 應(yīng)該對(duì) Lansweeper 掃描沒有影響。

查找關(guān)鍵服務(wù)器

雖然這種攻擊可以針對(duì)任何服務(wù)器，但域控制器很可能會(huì)受到攻擊者的青睞，借助 Lansweeper，您可以輕松了解所有服務(wù)器的概況，包括它們的詳細(xì)信息和角色。 通過這種方式，您可以查看所有服務(wù)器以及其中哪些是域控制器，以便您知道在何處采取行動(dòng)。

PetitPotam 已修復(fù)

在 8 月的星期二補(bǔ)丁中，微軟發(fā)布了與此漏洞相關(guān)的 CVE-2021-36942 的修復(fù)程序。 如果您想輕松一點(diǎn)，最好將您的域控制器更新為從 8 月補(bǔ)丁星期二或更高版本開始的 Microsoft 更新。 您可以使用我們的 8 月補(bǔ)丁星期二報(bào)告來檢查您的 Windows 計(jì)算機(jī)是否已更新。