如何保护你的网络免受PetitPotam中继攻击的方法
更新时间:2021-07-26 11:37:44 浏览次数:569+次在法国安全研究员Gilles Lionel披露了一个新的NTLM中继攻击后,一个新的安全问题一直困扰着企业网络管理员,该攻击允许黑客接管域控制器或其他Windows服务器。
该攻击被命名为PetitPotam,几天前被披露,允许使用概念验证代码。
大家好。
用MS-RPRN来强迫机器认证是很好的,但现在大多数orgz的管理员经常禁用这项服务。
下面是我们通过MS-EFSRPC来获取机器账户认证的另一种方法。请欣赏!!https://t.co/AGiS4f6yt8– topotam(@topotam77)2021年7月18日
该漏洞使用微软加密文件系统远程协议(EFSRPC)迫使设备,包括域控制器,向恶意的远程NTLM中继认证,然后可以用来窃取哈希和证书,并假定实际设备的身份及其权限。
然而,微软并没有过度惊慌,它说:
微软意识到PetitPotam有可能被用于攻击Windows域控制器或其他Windows服务器。PetitPotam是一种典型的NTLM中继攻击,这种攻击以前已经被微软记录下来,并有许多缓解方案来保护客户。例如,Microsoft Security Advisory 974926。
为了防止在启用了NTLM的网络上发生NTLM中继攻击,网域管理员必须确保允许NTLM认证的服务使用扩展认证保护(EPA)或签名功能(如SMB签名)等保护措施。PetitPotam利用了未配置针对NTLM中继攻击的保护措施的Active Directory证书服务(AD CS)的服务器。KB5005413中概述的缓解措施指导客户如何保护他们的AD CS服务器免受此类攻击。
如果您的域中启用了NTLM认证,并且您在使用活动目录证书服务(AD CS)与以下任何服务时,您有可能受到这种攻击。
证书颁发机构网络注册
证书注册网络服务
因此,简单的解决办法是在没有必要的地方禁用NTLM,例如域控制器,或者启用认证的扩展保护机制,或者启用NTLM认证来使用签名功能,例如SMB签名。
与PrintNightmare一样,这可能只是PetitPotam传奇的第一章,因为Gilles Lionel告诉BleepingComputer,PetitPotam允许其他攻击,例如对NTLMv1的降级攻击,它使用数据加密标准(DES)–一种不安全的算法,由于其短的56位密钥生成,很容易恢复密码散列,允许本地权限升级攻击。
微软也没有解决攻击中使用的EFSRPC协议。
在这里阅读微软的公告,以及BleepingComputer的更多信息。
Via MSPoweruser