微軟緊急公告PetitPotam攻擊的緩解方法 修補程式得再等等

微軟周二緊急針對能使攻擊者接管Windows網域控制器或其他Windows伺服器的PetitPotam NTLM轉發攻擊(relay attack)的緩解方法,但還未能實際修補。

微軟周二緊急針對能使攻擊者接管Windows網域控制器或其他Windows伺服器的PetitPotam NTLM轉發攻擊(NTLM relay attack)的緩解方法,但還未能實際修補。

PetitPotam是由法國安全研究人員Gilles Lionel發現Windows NT LAN Manager (NTLM)的新方法。他同時釋出了概念驗證(proof-of-concept, PoC)腳本語言。

PetitPotam是利用微軟加密檔案系統遠端協定(Microsoft Encrypting File System Remote Protocol, EFSRPC)強制Windows裝置,包括網域控制器(domain controller)驗證由攻擊者控制發出的遠端NTLM relay連線。

只要某台裝置驗證登入惡意NTLM伺服器,攻擊者就可以竊取其雜湊和憑證,然後假冒這台裝置身份及其權限。

這個攻擊手法周一揭露後,微軟立即發佈安全公告及建議,以協同企業防範網域控制器被駭入。

微軟指出,企業如果網域開啟了NTLM驗證,並使用具備Certificate Authority Web Enrollment或Certificate Enrollment Web Service的Active Directory憑證服務(AD CS)的話,就可能曝露在PetitPotam或其他轉發攻擊風險中。

微軟周二建議用戶關閉沒必要的NTLM(即網域控制器),或是啟動「驗證延伸保護(Extended Protection for Authentication)」機制來保護Windows伺服器上的登入帳密。此外微軟也建議啟動NTLM的網路應使用SMB簽章等功能來執行NTLM驗證,SMB簽章從Windows 98後就有了。

不過PetitPotam攻擊是濫用MS-EFSRPC API上的EfsRpcOpenFileRaw 函式使其核准驗證呼叫而讓伺服器門戶洞開。因此,微軟的安全建議雖然可以防止NTLM轉發連線,但並不能解決濫用MS-EFSRPC API的問題,後者需要有安全更新才能修補。

Gilles Lionel告訴媒體,PetitPotam還允許其他攻擊,例如降級為NTLMv1的攻擊手法,NTLMv1只使用古早56-bit的DES加密演算法,攻擊者很容易就能破解密碼雜湊。那攻擊者之後就能利用機器上的本地管理員權限帳號。Lionel指出,微軟Exchange Server及System Center Configuration Manager (SCCM)伺服器就是常見攻擊目的。

之前曾指出微軟PrintNightmare漏洞修補不全的知名安全研究人員Benjamin Delpy對微軟只緩解PetitPotam不以為然,他認為微軟安全公告甚至未提及EFSRPC協定。

PetitPotam影響Windows Server 2008到2019。微軟安全公告指出,目前尚未發現有人使用這套攻擊手法,也尚無法評估該漏洞的風險層級。

來源:Bleeping Computer

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416