新的PetitPotam NTLM中继攻击允许黑客接管Windows域

可以利用Windows操作系统中新发现的安全漏洞，强制远程Windows服务器（包括域控制器）向恶意目标进行身份验证，从而允许对手发起NTLM中继攻击并完全接管Windows域。

该问题被称为“PetitPotam”，是由安全研究人员Gilles Lionel发现的，他上周分享了技术细节和概念验证（PoC）代码，并指出该漏洞的工作原理是“Windows主机通过MS-EFSRPC EfsRpcOpenFileRaw功能向其他机器进行身份验证”

MS-EFSRPC是微软的加密文件系统远程协议，用于“对远程存储并通过网络访问的加密数据执行维护和管理操作”

具体而言，该攻击使域控制器能够使用MS-EFSRPC接口，在坏人的控制下对远程NTLM进行身份验证，并共享其身份验证信息。这是通过连接到LSARPC来实现的，从而导致目标服务器连接到任意服务器并执行NTLM身份验证的情况。

通过强制目标计算机启动身份验证过程并通过NTLM共享其散列密码，PetitPotam攻击可以链接到针对Windows Active Directory证书服务（AD CS）的攻击，以夺取整个域的控制权。

TRUESEC的Hasain Alshakarti说：“攻击者可以通过使用MS-EFSRPC协议，然后将DC NTLM凭据中继到Active Directory证书服务AD CS Web注册页面，以注册DC证书，从而将其作为域控制器的目标。”。“这将有效地为攻击者提供一个身份验证证书，可用于以DC身份访问域服务，并危害整个域。

资料来源：Rootsecdev

尽管禁用对MS-EFSRPC的支持并不能阻止攻击的运行，但微软已经发布了针对该问题的缓解措施，虽然将“PetitPotam”描述为“经典NTLM中继攻击”，但它允许访问网络的攻击者拦截客户端和服务器之间的合法身份验证流量，并中继那些经过验证的身份验证请求，以便访问网络服务。

“为了防止在启用NTLM的网络上发生NTLM中继攻击，域管理员必须确保允许NTLM身份验证的服务使用诸如扩展身份验证保护（EPA）之类的保护或诸如SMB签名之类的签名功能，”Microsoft指出。“PetitPotam利用Active Directory证书服务（AD CS）未配置NTLM中继攻击保护的服务器。”

为了防止这种攻击，Windows制造商建议客户在域控制器上禁用NTLM身份验证。如果由于兼容性原因无法关闭NTLM，该公司敦促用户采取以下两个步骤之一-

• 使用组策略“网络安全：限制NTLM:传入NTLM流量”在域中的任何AD CS服务器上禁用NTLM。
• 在运行“证书颁发机构Web注册”或“证书注册Web服务”服务的域中的AD CS服务器上禁用Internet信息服务（IIS）的NTLM

PetitPotam标志着继PrintDream和SeriousSAM（又名HiveNightmare）漏洞之后，在过去一个月里披露的第三个主要Windows安全问题。