Windows 操作系統(tǒng)中一個(gè)新發(fā)現(xiàn)的安全漏洞可被利用來(lái)強(qiáng)制遠(yuǎn)程 Windows 服務(wù)器（包括域控制器）向惡意目的地進(jìn)行身份驗(yàn)證，從而允許攻擊者發(fā)起 NTLM 中繼攻擊并完全接管 Windows 域。

這個(gè)被稱為“?PetitPotam?”的問(wèn)題是由安全研究員 Gilles Lionel 發(fā)現(xiàn)的，他上周分享了技術(shù)細(xì)節(jié)和概念驗(yàn)證 (PoC) 代碼，并指出該漏洞通過(guò)強(qiáng)制“Windows 主機(jī)通過(guò) MS 向其他機(jī)器進(jìn)行身份驗(yàn)證而起作用” -EFSRPC EfsRpcOpenFileRaw 函數(shù)。”

MS-EFSRPC是 Microsoft 的加密文件系統(tǒng)遠(yuǎn)程協(xié)議，用于對(duì)遠(yuǎn)程存儲(chǔ)和通過(guò)網(wǎng)絡(luò)訪問(wèn)的加密數(shù)據(jù)執(zhí)行“維護(hù)和管理操作”。

具體來(lái)說(shuō)，該攻擊使域控制器能夠使用 MS-EFSRPC 接口在惡意行為者的控制下對(duì)遠(yuǎn)程 NTLM 進(jìn)行身份驗(yàn)證并共享其身份驗(yàn)證信息。這是通過(guò)連接到LSARPC來(lái)完成的，從而導(dǎo)致目標(biāo)服務(wù)器連接到任意服務(wù)器并執(zhí)行 NTLM 身份驗(yàn)證的場(chǎng)景。

TRUESEC 的 Hasain Alshakarti說(shuō)：?“攻擊者可以通過(guò)使用 MS-EFSRPC 協(xié)議將 DC NTLM 憑據(jù)中繼到 Active Directory 證書服務(wù) AD CS Web 注冊(cè)頁(yè)面以注冊(cè) DC 證書，從而以域控制器為目標(biāo)來(lái)發(fā)送其憑據(jù)?！?“這將有效地為攻擊者提供一個(gè)身份驗(yàn)證證書，該證書可用于作為 DC 訪問(wèn)域服務(wù)并破壞整個(gè)域。

雖然禁用對(duì) MS-EFSRPC 的支持并不能阻止攻擊運(yùn)行，但微軟此后發(fā)布了針對(duì)該問(wèn)題的緩解措施，同時(shí)將“PetitPotam”描述為“經(jīng)典的 NTLM 中繼攻擊”，它允許具有網(wǎng)絡(luò)訪問(wèn)權(quán)限的攻擊者攔截合法客戶端和服務(wù)器之間的身份驗(yàn)證流量，并中繼那些經(jīng)過(guò)驗(yàn)證的身份驗(yàn)證請(qǐng)求以訪問(wèn)網(wǎng)絡(luò)服務(wù)。

微軟指出：“為了防止在啟用了 NTLM 的網(wǎng)絡(luò)上發(fā)生 NTLM 中繼攻擊，域管理員必須確保允許 NTLM 身份驗(yàn)證的服務(wù)使用諸如擴(kuò)展身份驗(yàn)證保護(hù) (EPA) 或簽名功能（如 SMB 簽名）之類的保護(hù)措施。”?“PetitPotam 利用服務(wù)器，其中 Active Directory 證書服務(wù) (AD CS) 未配置 NTLM 中繼攻擊保護(hù)。”

為了防止這種攻擊，Windows 制造商建議客戶在域控制器上禁用 NTLM 身份驗(yàn)證。如果出于兼容性原因無(wú)法關(guān)閉 NTLM，該公司敦促用戶采取以下兩個(gè)步驟之一 –

使用組策略網(wǎng)絡(luò)安全：限制 NTLM：傳入 NTLM 流量在域中的任何 AD CS 服務(wù)器上禁用 NTLM。

在運(yùn)行“證書頒發(fā)機(jī)構(gòu) Web 注冊(cè)”或“證書注冊(cè) Web 服務(wù)”服務(wù)的域中的 AD CS 服務(wù)器上禁用 Internet 信息服務(wù) (IIS) 的 NTLM

PetitPotam 標(biāo)志著過(guò)去一個(gè)月內(nèi)在 PrintNightmare和SeriousSAM（又名 HiveNightmare）漏洞之后披露的第三個(gè)主要 Windows 安全問(wèn)題。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/