幾天前,法國安全研究人員 Gilles Lionel 披露了一種新式 NTLM 中繼攻擊。若得逞,黑客將接管域控制器或其它 Windows 服務器。隨着 PetitPotam 概念驗證代碼的披露,這也成為了困擾企業網絡管理員的一個新安全問題。
具體說來是,該漏洞利用了微軟加密文件系統遠程協議(簡稱 EFSRPC),以強制設備(包括域控制器)向惡意的遠程 NTLM 中繼進行身份驗證。
基於此,攻擊者便可竊取哈希證書,並獲得假定設備的實際身份與特權。
慶幸的是,微軟已經知曉了 PetitPotam 攻擊可被用於攻擊 Windows 域控制器或其它 Windows 服務。
作為一種經典的 NTLM 中繼攻擊,微軟此前已記錄過類似的事件,並且提供了一些用戶保護客戶免受威脅的緩解選項(參考 974926 安全通報)。
為防止在啟用了 NTLM 的網絡上發生中繼攻擊,域管理員必須確保其身份驗證服務已啟用相應的保護措施,比如 EPA 身份驗證擴展保護、或 SMB 簽名功能。
據悉,PetitPotam 會利用未妥善配置 Active Directory 證書保護服務(AD CS)的服務器。有需要的客戶,可參考 KB5005413 中概述的緩解措施。
微軟指出,如果企業已在域中啟用了 NTLM 身份驗證,並將 Active Directory 證書服務與以下任何服務一起使用,就極易受到 PetiPotam 攻擊的影響:
● Certificate Authority Web Enrollment
● Certificate Enrollment Web Service
基於此,最簡單的解決方案,就是在不需要的情況下禁用 NTLM,例如域控制器、啟用身份驗證機制的擴展保護、或啟用 NTLM 身份驗證以使用簽名功能。
最後,與 PrintNightmare 一樣,這很可能是 PetitPotam 系列攻擊的第一章。
Gilles Lionel 在接受 BleepingComputer 採訪時稱,PetitPotam 還允許其它形式的攻擊,例如對使用 DES 數據加密標準的 NTLMv1 進行降級攻擊。
作為一種不安全的算法,其僅使用了 56 位密鑰生成,因而很容易被攻擊者恢復哈希后的密碼,並導致本地特權提升攻擊。