日前,法国安全研究员GillesLionel披露了一种新型的NTLM中继攻击。如果成功,黑客将接管域控制器或其他Windows服务器。随着PetitPotam的概念验证代码的披露,这是一个新的安全问题困扰着企业网络管理员。具体来说,该漏洞利用Microsoft加密文件系统远程协议(简称EFSRPC)强制设备(包括域控制器)向恶意远程NTLM中继进行身份验证。基于此,攻击者可以窃取凭证哈希并获得假想设备的实际身份和特权。幸运的是,Microsoft意识到PetitPotam攻击可用于攻击Windows域控制器或其他Windows服务。作为经典的NTLM中继攻击,微软此前记录过类似的事件,并为用户提供了一些缓解选项,以保护客户免受威胁(参考974926安全咨询)。为了防止对支持NTLM的网络进行中继攻击,域管理员必须确保他们的身份验证服务启用了适当的保护,例如EPA身份验证扩展保护或SMB签名功能。众所周知,PetitPotam会利用未正确配置ActiveDirectory证书保护服务(ADCS)的服务器。有需要的客户可以参考KB5005413中概述的缓解措施。根据Microsoft的说法,已在其域上启用NTLM身份验证并使用具有以下任何服务的ActiveDirectory证书服务的组织极易受到PetiPotam攻击:证书颁发机构Web注册证书注册Web服务基于此,最简单的解决方案是在不需要的地方禁用NTLM,例如域控制器,为身份验证机制启用扩展保护,或者启用NTLM身份验证以使用签名功能。最后,与PrintNightmare一样,这可能是针对PetitPotam的一系列攻击的第一章。GillesLionel告诉BleepingComputer,PetitPotam还允许其他形式的攻击,例如针对使用DES数据加密标准的NTLMv1的降级攻击。作为一种不安全的算法,它仅使用56位密钥生成,使得攻击者很容易恢复哈希密码并导致本地提权攻击。
