查看: 872|回复: 0
收起左侧

[IT业界] 微软分享缓解PetitPotam NTML中继攻击的方法

[复制链接]
蓝天二号
发表于 2021-7-26 12:48:21 | 显示全部楼层 |阅读模式
本帖最后由 蓝天二号 于 2021-7-26 12:49 编辑

几天前,法国安全研究人员 Gilles Lionel 披露了一种新式 NTLM 中继攻击。若得逞,黑客将接管域控制器或其它 Windows 服务器。随着 PetitPotam 概念验证代码的披露,这也成为了困扰企业网络管理员的一个新安全问题。
b423d8873dcd84f.png
具体说来是,该漏洞利用了微软加密文件系统远程协议(简称 EFSRPC),以强制设备(包括域控制器)向恶意的远程 NTLM 中继进行身份验证。

基于此,攻击者便可窃取哈希证书,并获得假定设备的实际身份与特权。
d9f5deb6d2b92df.png
庆幸的是,微软已经知晓了 PetitPotam 攻击可被用于攻击 Windows 域控制器或其它 Windows 服务。
作为一种经典的 NTLM 中继攻击,微软此前已记录过类似的事件,并且提供了一些用户保护客户免受威胁的缓解选项(参考 974926 安全通报)。

为防止在启用了 NTLM 的网络上发生中继攻击,域管理员必须确保其身份验证服务已启用相应的保护措施,比如 EPA 身份验证扩展保护、或 SMB 签名功能。

据悉,PetitPotam 会利用未妥善配置 Active Directory 证书保护服务(AD CS)的服务器。有需要的客户,可参考 KB5005413 中概述的缓解措施。
731bbbbb79beac3.png
微软指出,如果企业已在域中启用了 NTLM 身份验证,并将 Active Directory 证书服务与以下任何服务一起使用,就极易受到 PetiPotam 攻击的影响:

● Certificate Authority Web Enrollment

● Certificate Enrollment Web Service

基于此,最简单的解决方案,就是在不需要的情况下禁用 NTLM,例如域控制器、启用身份验证机制的扩展保护、或启用 NTLM 身份验证以使用签名功能。
Screenshot_20210726-124744_Gallery.jpg
最后,与 PrintNightmare 一样,这很可能是 PetitPotam 系列攻击的第一章。

Gilles Lionel 在接受 BleepingComputer 采访时称,PetitPotam 还允许其它形式的攻击,例如对使用 DES 数据加密标准的 NTLMv1 进行降级攻击。

作为一种不安全的算法,其仅使用了 56 位密钥生成,因而很容易被攻击者恢复哈希后的密码,并导致本地特权提升攻击。


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 07:00 , Processed in 0.134149 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表