吳明宜微軟緊急公告PetitPotam攻擊的緩解方法 修補程式得再等等
微軟周二緊急針對能使攻擊者接管Windows網域控制器或其他Windows伺服器的PetitPotam NTLM轉發攻擊(NTLM relay attack)的緩解方法,但還未能實際修補。
PetitPotam是由法國安全研究人員Gilles Lionel發現Windows NT LAN Manager (NTLM)的新方法。他同時釋出了概念驗證(proof-of-concept, PoC)腳本語言。
PetitPotam是利用微軟加密檔案系統遠端協定(Microsoft Encrypting File System Remote Protocol, EFSRPC)強制Windows裝置,包括網域控制器(domain controller)驗證由攻擊者控制發出的遠端NTLM relay連線。
只要某台裝置驗證登入惡意NTLM伺服器,攻擊者就可以竊取其雜湊和憑證,然後假冒這台裝置身份及其權限。
這個攻擊手法周一揭露後,微軟立即發佈安全公告及建議,以協同企業防範網域控制器被駭入。
微軟指出,企業如果網域開啟了NTLM驗證,並使用具備Certificate Authority Web Enrollment或Certificate Enrollment Web Service的Active Directory憑證服務(AD CS)的話,就可能曝露在PetitPotam或其他轉發攻擊風險中。
微軟周二建議用戶關閉沒必要的NTLM(即網域控制器),或是啟動「驗證延伸保護(Extended Protection for Authentication)」機制來保護Windows伺服器上的登入帳密。此外微軟也建議啟動NTLM的網路應使用SMB簽章等功能來執行NTLM驗證,SMB簽章從Windows 98後就有了。
不過PetitPotam攻擊是濫用MS-EFSRPC API上的EfsRpcOpenFileRaw 函式使其核准驗證呼叫而讓伺服器門戶洞開。因此,微軟的安全建議雖然可以防止NTLM轉發連線,但並不能解決濫用MS-EFSRPC API的問題,後者需要有安全更新才能修補。
Gilles Lionel告訴媒體,PetitPotam還允許其他攻擊,例如降級為NTLMv1的攻擊手法,NTLMv1只使用古早56-bit的DES加密演算法,攻擊者很容易就能破解密碼雜湊。那攻擊者之後就能利用機器上的本地管理員權限帳號。Lionel指出,微軟Exchange Server及System Center Configuration Manager (SCCM)伺服器就是常見攻擊目的。
之前曾指出微軟PrintNightmare漏洞修補不全的知名安全研究人員Benjamin Delpy對微軟只緩解PetitPotam不以為然,他認為微軟安全公告甚至未提及EFSRPC協定。
PetitPotam影響Windows Server 2008到2019。微軟安全公告指出,目前尚未發現有人使用這套攻擊手法,也尚無法評估該漏洞的風險層級。