Windows又遇安全問題 PetitPotam NTLM中繼攻擊讓駭客接管Windows域

Windows作業系統中一個新發現的安全漏洞可被利用來強制遠端Windows伺服器(包括域控制器)與惡意目標進行身份驗證，從而允許攻擊者發起NTLM中繼攻擊並完全接管Windows域。

這個被稱為“ PetitPotam ”的問題是由安全研究員Gilles Lionel發現的，他上週分享了技術細節和概念驗證(PoC)程式碼，指出該漏洞的工作原理是“Windows主機透過MS-EFSRPC EfsRpcOpenFileRaw函式對其他機器進行身份驗證”。

什麼是MS-EFSRPC?

MS-EFSRPC是微軟的加密檔案系統遠端協議，該協議用於對遠端儲存並透過網路訪問的加密資料執行維護和管理操作。

具體來說，該攻擊使域控制器能夠使用MS-EFSRPC介面在惡意行為者的控制下對遠端 NTLM進行身份驗證並共享其身份驗證資訊。透過連線到LSARPC完成以上控制，從而導致目標伺服器連線到任意伺服器並執行NTLM身份驗證。

網路安全人員稱：攻擊者可以透過使用MS-EFSRPC協議將DC NTLM 憑據中繼到Active Directory證書服務AD CS Web註冊頁面以註冊DC證書，從而以域控制器為目標來傳送其憑據。 這將有效地為攻擊者提供一個身份驗證證書，該證書可用於作為DC訪問域服務並破壞整個域。

影響版本

NTLM身份驗證雜湊可用於執行中繼攻擊，或者最近可以破解以獲取受害者的密碼。PetitPotam攻擊可能非常危險，因為它允許攻擊者接管域控制器並危害整個企業組織。

該PetitPotam技術可以潛在地影響大多數支援的Windows版本中，它成功地依靠Windows 10和Windows Server 2016和Windows Server 2019對系統進行測試。

微軟解決方案

雖然禁用對MS-EFSRPC的支援並不能阻止攻擊執行，但微軟此後釋出了針對該問題的緩解措施，同時將“PetitPotam”描述為“經典的NTLM中繼攻擊”，它允許具有網路訪問許可權的攻擊者攔截合法客戶端和伺服器之間的身份驗證流量，並中繼那些經過驗證的身份驗證請求以訪問網路服務。

微軟指出：為了防止在啟用了NTLM的網路上發生NTLM中繼攻擊，域管理員必須確保允許NTLM身份驗證的服務使用諸如擴充套件身份驗證保護 (EPA) 或簽名功能(如 SMB 簽名)之類的保護措施。”

“PetitPotam利用伺服器，其中Active Directory證書服務(AD CS)未配置NTLM中繼攻擊保護。

為了防止這種攻擊，Windows製造商建議客戶在域控制器上禁用 NTLM身份驗證。如果出於相容性原因無法關閉 NTLM，該公司敦促使用者採取以下兩個步驟之一 ：

使用組策略網路安全：限制 NTLM：傳入 NTLM 流量在域中的任何 AD CS 伺服器上禁用 NTLM。

在執行“證書頒發機構Web註冊”或“證書註冊Web服務”服務的域中的AD CS伺服器上禁用Internet資訊服務(IIS)的NTLM。

如果沒有必要，Microsoft 建議強烈建議禁用NTLM，或者啟用身份驗證擴充套件保護機制以保護Windows計算機上的憑據。

PetitPotam標誌著過去一個月內在PrintNightmare和SeriousSAM(又名 HiveNightmare)漏洞之後披露的第三個主要Windows安全問題。

軟體應用在不斷更新和使用的同時，也為網路攻擊提供了一定條件。系統中任何一個微不足道的問題都很可能演變成帶有巨大潛在危害的安全漏洞，因此不論是在軟體使用時，還是開發過程當中，確保軟體安全成為重要任務。尤其網路攻擊逐年增加，任何一個不當配置或 程式碼缺陷都可能為網路攻擊埋下伏筆。因此軟體開發企業有必要在開發過程中確保軟體安全，檢測並改正 程式碼缺陷，同時加強軟體安全漏洞掃描，從多方面降低遭受網路攻擊的風險。