几天前,法国安全研究人员 Gilles Lionel 披露了一种新式 NTLM 中继攻击。若得逞,黑客将接管域控制器或其它 Windows 服务器。随着 PetitPotam 概念验证代码的披露,这也成为了困扰企业网络管理员的一个新安全问题。
具体说来是,该漏洞利用了微软加密文件系统远程协议(简称 EFSRPC),以强制设备(包括域控制器)向恶意的远程 NTLM 中继进行身份验证。
基于此,攻击者便可窃取哈希证书,并获得假定设备的实际身份与特权。
庆幸的是,微软已经知晓了 PetitPotam 攻击可被用于攻击 Windows域控制器或其它 Windows 服务。
作为一种经典的 NTLM 中继攻击,微软此前已记录过类似的事件,并且提供了一些用户保护客户免受威胁的缓解选项(参考 974926安全通报)。
为防止在启用了 NTLM 的网络上发生中继攻击,域管理员必须确保其身份验证服务已启用相应的保护措施,比如 EPA 身份验证扩展保护、或 SMB 签名功能。
据悉,PetitPotam 会利用未妥善配置 Active Directory 证书保护服务(AD CS)的服务器。有需要的客户,可参考 KB5005413 中概述的缓解措施。
微软指出,如果企业已在域中启用了 NTLM 身份验证,并将 Active Directory 证书服务与以下任何服务一起使用,就极易受到 PetiPotam 攻击的影响:
- Certificate Authority Web Enrollment
- Certificate Enrollment Web Service
基于此,最简单的解决方案,就是在不需要的情况下禁用 NTLM,例如域控制器、启用身份验证机制的扩展保护、或启用 NTLM 身份验证以使用签名功能。
最后,与 PrintNightmare 一样,这很可能是 PetitPotam 系列攻击的第一章。
Gilles Lionel 在接受 BleepingComputer 采访时称,PetitPotam 还允许其它形式的攻击,例如对使用 DES 数据加密标准的 NTLMv1 进行降级攻击。
作为一种不安全的算法,其仅使用了 56 位密钥生成,因而很容易被攻击者恢复哈希后的密码,并导致本地特权提升攻击。