吳明宜微軟緊急公告 PetitPotam 攻擊的緩解方法 修補程式得再等等
微軟周二緊急針對能使攻擊者接管 Windows 網域控制器或其他 Windows 伺服器的 PetitPotam NTLM 轉發攻擊 (NTLM relay attack) 的緩解方法,但還未能實際修補。
PetitPotam 是由法國安全研究人員 Gilles Lionel 發現 Windows NT LAN Manager (NTLM) 的新方法。他同時釋出了概念驗證 (proof-of-concept, PoC) 腳本語言。
PetitPotam 是利用微軟加密檔案系統遠端協定 (Microsoft Encrypting File System Remote Protocol, EFSRPC) 強制 Windows 裝置,包括網域控制器 (domain controller) 驗證由攻擊者控制發出的遠端 NTLM relay 連線。
只要某台裝置驗證登入惡意 NTLM 伺服器,攻擊者就可以竊取其雜湊和憑證,然後假冒這台裝置身份及其權限。
這個攻擊手法周一揭露後,微軟立即發佈安全公告及建議,以協同企業防範網域控制器被駭入。
微軟指出,企業如果網域開啟了 NTLM 驗證,並使用具備 Certificate Authority Web Enrollment 或 Certificate Enrollment Web Service 的 Active Directory 憑證服務 (AD CS) 的話,就可能曝露在 PetitPotam 或其他轉發攻擊風險中。
微軟周二建議用戶關閉沒必要的 NTLM(即網域控制器),或是啟動「驗證延伸保護 (Extended Protection for Authentication)」機制來保護 Windows 伺服器上的登入帳密。此外微軟也建議啟動 NTLM 的網路應使用 SMB 簽章等功能來執行 NTLM 驗證,SMB 簽章從 Windows 98 後就有了。
不過 PetitPotam 攻擊是濫用 MS-EFSRPC API 上的 EfsRpcOpenFileRaw 函式使其核准驗證呼叫而讓伺服器門戶洞開。因此,微軟的安全建議雖然可以防止 NTLM 轉發連線,但並不能解決濫用 MS-EFSRPC API 的問題,後者需要有安全更新才能修補。
Gilles Lionel 告訴媒體,PetitPotam 還允許其他攻擊,例如降級為 NTLMv1 的攻擊手法,NTLMv1 只使用古早 56-bit 的 DES 加密演算法,攻擊者很容易就能破解密碼雜湊。那攻擊者之後就能利用機器上的本地管理員權限帳號。Lionel 指出,微軟 Exchange Server 及 System Center Configuration Manager (SCCM) 伺服器就是常見攻擊目的。
之前曾指出微軟 PrintNightmare 漏洞修補不全的知名安全研究人員 Benjamin Delpy 對微軟只緩解 PetitPotam 不以為然,他認為微軟安全公告甚至未提及 EFSRPC 協定。
PetitPotam 影響 Windows Server 2008 到 2019。微軟安全公告指出,目前尚未發現有人使用這套攻擊手法,也尚無法評估該漏洞的風險層級。