[[413154]]

幾天前，法國安全研究人員 Gilles Lionel 披露了一種新式 NTLM 中繼攻擊。若得逞，黑客將接管域控制器或其它 Windows 服務(wù)器。隨著 PetitPotam 概念驗(yàn)證代碼的披露，這也成為了困擾企業(yè)網(wǎng)絡(luò)管理員的一個(gè)新安全問題。

具體說來是，該漏洞利用了微軟加密文件系統(tǒng)遠(yuǎn)程協(xié)議(簡(jiǎn)稱 EFSRPC)，以強(qiáng)制設(shè)備(包括域控制器)向惡意的遠(yuǎn)程 NTLM 中繼進(jìn)行身份驗(yàn)證。

基于此，攻擊者便可竊取哈希證書，并獲得假定設(shè)備的實(shí)際身份與特權(quán)。

慶幸的是，微軟已經(jīng)知曉了 PetitPotam 攻擊可被用于攻擊 Windows域控制器或其它 Windows 服務(wù)。

作為一種經(jīng)典的 NTLM 中繼攻擊，微軟此前已記錄過類似的事件，并且提供了一些用戶保護(hù)客戶免受威脅的緩解選項(xiàng)(參考 974926安全通報(bào))。

為防止在啟用了 NTLM 的網(wǎng)絡(luò)上發(fā)生中繼攻擊，域管理員必須確保其身份驗(yàn)證服務(wù)已啟用相應(yīng)的保護(hù)措施，比如 EPA 身份驗(yàn)證擴(kuò)展保護(hù)、或 SMB 簽名功能。

據(jù)悉，PetitPotam 會(huì)利用未妥善配置 Active Directory 證書保護(hù)服務(wù)(AD CS)的服務(wù)器。有需要的客戶，可參考 KB5005413 中概述的緩解措施。

微軟指出，如果企業(yè)已在域中啟用了 NTLM 身份驗(yàn)證，并將 Active Directory 證書服務(wù)與以下任何服務(wù)一起使用，就極易受到 PetiPotam 攻擊的影響：

• Certificate Authority Web Enrollment
• Certificate Enrollment Web Service

基于此，最簡(jiǎn)單的解決方案，就是在不需要的情況下禁用 NTLM，例如域控制器、啟用身份驗(yàn)證機(jī)制的擴(kuò)展保護(hù)、或啟用 NTLM 身份驗(yàn)證以使用簽名功能。

最后，與 PrintNightmare 一樣，這很可能是 PetitPotam 系列攻擊的第一章。

Gilles Lionel 在接受 BleepingComputer 采訪時(shí)稱，PetitPotam 還允許其它形式的攻擊，例如對(duì)使用 DES 數(shù)據(jù)加密標(biāo)準(zhǔn)的 NTLMv1 進(jìn)行降級(jí)攻擊。

作為一種不安全的算法，其僅使用了 56 位密鑰生成，因而很容易被攻擊者恢復(fù)哈希后的密碼，并導(dǎo)致本地特權(quán)提升攻擊。