新的PetitPotam NTLM中繼攻擊能讓黑客接管Windows域控

安全 2021-07-27 12:26

聲明：該文章由作者（imkowan）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁(yè)鏈接。。

Windows 操作系統(tǒng)中一個(gè)新發(fā)現(xiàn)的安全漏洞可被利用來(lái)強(qiáng)制遠(yuǎn)程 Windows 服務(wù)器（包括域控制器）向惡意目的地進(jìn)行身份驗(yàn)證，從而允許攻擊者發(fā)起 NTLM 中繼攻擊并完全接管 Windows 域。

這個(gè)被稱為“?PetitPotam?”的問(wèn)題是由安全研究員 Gilles Lionel 發(fā)現(xiàn)的，他上周分享了技術(shù)細(xì)節(jié)和概念驗(yàn)證 (PoC) 代碼，并指出該漏洞通過(guò)強(qiáng)制“Windows 主機(jī)通過(guò) MS 向其他機(jī)器進(jìn)行身份驗(yàn)證而起作用” -EFSRPC EfsRpcOpenFileRaw 函數(shù)?！?/p>

MS-EFSRPC是 Microsoft 的加密文件系統(tǒng)遠(yuǎn)程協(xié)議，用于對(duì)遠(yuǎn)程存儲(chǔ)和通過(guò)網(wǎng)絡(luò)訪問(wèn)的加密數(shù)據(jù)執(zhí)行“維護(hù)和管理操作”。

具體來(lái)說(shuō)，該攻擊使域控制器能夠使用 MS-EFSRPC 接口在惡意行為者的控制下對(duì)遠(yuǎn)程 NTLM 進(jìn)行身份驗(yàn)證并共享其身份驗(yàn)證信息。這是通過(guò)連接到LSARPC來(lái)完成的，從而導(dǎo)致目標(biāo)服務(wù)器連接到任意服務(wù)器并執(zhí)行 NTLM 身份驗(yàn)證的場(chǎng)景。

TRUESEC 的 Hasain Alshakarti說(shuō)：?“攻擊者可以通過(guò)使用 MS-EFSRPC 協(xié)議將 DC NTLM 憑據(jù)中繼到 Active Directory 證書(shū)服務(wù) AD CS Web 注冊(cè)頁(yè)面以注冊(cè) DC 證書(shū)，從而以域控制器為目標(biāo)來(lái)發(fā)送其憑據(jù)?！?“這將有效地為攻擊者提供一個(gè)身份驗(yàn)證證書(shū)，該證書(shū)可用于作為 DC 訪問(wèn)域服務(wù)并破壞整個(gè)域。

雖然禁用對(duì) MS-EFSRPC 的支持并不能阻止攻擊運(yùn)行，但微軟此后發(fā)布了針對(duì)該問(wèn)題的緩解措施，同時(shí)將“PetitPotam”描述為“經(jīng)典的 NTLM 中繼攻擊”，它允許具有網(wǎng)絡(luò)訪問(wèn)權(quán)限的攻擊者攔截合法客戶端和服務(wù)器之間的身份驗(yàn)證流量，并中繼那些經(jīng)過(guò)驗(yàn)證的身份驗(yàn)證請(qǐng)求以訪問(wèn)網(wǎng)絡(luò)服務(wù)。

微軟指出：“為了防止在啟用了 NTLM 的網(wǎng)絡(luò)上發(fā)生 NTLM 中繼攻擊，域管理員必須確保允許 NTLM 身份驗(yàn)證的服務(wù)使用諸如擴(kuò)展身份驗(yàn)證保護(hù) (EPA) 或簽名功能（如 SMB 簽名）之類的保護(hù)措施?！?“PetitPotam 利用服務(wù)器，其中 Active Directory 證書(shū)服務(wù) (AD CS) 未配置 NTLM 中繼攻擊保護(hù)。”