使用 PetitPotam 攻击获取 Windows 系统的密码哈希

安全研究员 Gilles Lionel（又名 Topotam）在 Windows 操作系统中发现了一个漏洞，攻击者可以利用该漏洞强制远程 Windows 机器进行身份验证并与他共享密码哈希。袭击的消息首先由 The Record报道。

该攻击滥用远程加密文件系统 (EFSRPC)协议，该协议用于对远程存储并通过网络访问的加密数据执行维护和管理操作。

Lionel 还在GitHub 上发布了概念验证 (PoC) 漏洞利用代码。

“通过 MS-EFSRPC EfsRpcOpenFileRaw 函数强制 Windows 主机向其他机器进行身份验证的 PoC 工具。这也可以通过其他协议和功能实现。” 阅读专家提供的描述。

“这些工具使用带有接口 c681d488-d850-11d0-8c52-00c04fd90f7e 的 LSARRPC 命名管道，因为它更普遍。但是可以使用 EFSRPC 命名管道和接口 df1941c5-fe89-4e79-bf10-463657acf44d 触发。”

在专家演示的 PetitPotam 攻击中，他将 SMB 请求发送到远程系统的 MS-EFSRPC 接口，并强制其系统启动身份验证程序并共享其 NTLM 身份验证哈希。

NTLM 身份验证哈希可用于执行中继攻击或最近可以破解以获取受害者的密码。PetitPotam 攻击可能非常危险，因为它允许攻击者接管域控制器并危害整个组织。

大家好，
MS-RPRN 强制机器身份验证很棒，但是现在大多数 orgz 上的管理员经常禁用该服务。
这是我们用来通过 MS-EFSRPC 获取机器帐户身份验证的另一种方法。享受！！https://t.co/AGiS4f6yt8
— topotam (@topotam77) 2021 年 7 月 18 日

Gilles 强调，禁用对 MS-EFSRPC 的支持并不能缓解这种攻击。在撰写本文时，尚无解决方法来缓解此问题。

Lionel告诉 BleepingComputer，这是一个漏洞，而不是滥用合法功能。 

该攻击可能会影响大多数受支持的 Windows 版本，它已成功针对 Windows 10、Windows Server 2016 和 Windows Server 2019 系统进行测试。

Mimikatz 的作者 Benjamin Delpy 也成功测试了 PetitPotam 攻击并发布了该攻击的视频 PoC。

是时候玩转#mimikatz & #kekeo & #impacket
如果您有 Windows PKI 及其 WebServer，您会遇到问题
* 拥有完整域 *
> https://t.co/Wzb5GAfWfd
> https没有身份验证/凭据：//t.co/x3n9B8HHGT
@ topotam77 EFS与PetitPotam
@ExAndroidDev PR pic.twitter.com/Z2qn1NM9zx
—本杰明·德尔佩 (@gentilkiwi) ，2021 年 7 月 23 日