微软分享缓解PetitPotam NTML中继攻击的方法

zhaorong · 发表于网络安全 2021-7-27 14:30:17


	几天前法国安全研究人员 Gilles Lionel 披露了一种新式 NTLM 中继攻击。若得逞黑客将接管域控制器或其它 Windows 服务器。几天前法国安全研究人员 Gilles Lionel 披露了一种新式 NTLM 中继攻击。若得逞黑客将接管域控制器或其它 Windows 务器。随着 PetitPotam 概念验证代码的披露这也成为了困扰企业网络管理员的一个新安全问题。具体说来是该漏洞利用了微软加密文件系统远程协议(简称 EFSRPC 以强制设备包括域控制器向恶意的远程 NTLM 中继进行身份验证。基于此攻击者便可窃取哈希证书并获得假定设备的实际身份与特权。庆幸的是微软已经知晓了 PetitPotam 攻击可被用于攻击 Windows域控制器或其它Windows 服务。作为一种经典的 NTLM 中继攻击微软此前已记录过类似的事件并且提供了一些用户保护客户免受威胁的缓解选项参考 974926安全通报。为防止在启用了NTLM的网络上发生中继攻击域管理员必须确保其身份验证服务已启用相应的保护措施比如 EPA 身份验证扩展保护或SMB签名功能。据悉 PetitPotam 会利用未妥善配置Active Directory 证书保护服务AD CS的服务器有需要的客户可参考 KB5005413 中概述的缓解措施。微软指出如果企业已在域中启用了 NTLM 身份验证并将 Active Directory 证书服务与以下任何服务一起使用就极易受到 PetiPotam 攻击的影响： Certificate Authority Web Enrollment Certificate Enrollment Web Service 基于此最简单的解决方案就是在不需要的情况下禁用 NTLM 例如域控制器启用身份验证机制的扩展保护或启用 NTLM 身份验证以使用签名功能。最后与 PrintNightmare 一样这很可能是 PetitPotam 系列攻击的第一章。 Gilles Lionel 在接受 BleepingComputer 采访时称 PetitPotam 还允许其它形式的攻击例如对使用DES 数据加密标准的 NTLMv1 进行降级攻击。作为一种不安全的算法其仅使用了56位密钥生成因而很容易被攻击者恢复哈希后的密码并导致本地特权提升攻击。

微信扫一扫 分享朋友圈

微软分享缓解PetitPotam NTML中继攻击的方法

微信扫一扫分享朋友圈