一、漏洞情况

近日,Microsoft发布安全更新公告,披露了Windows操作系统中一个新发现的安全漏洞,漏洞被命名为“PetitPotam”。该漏洞可能被用于攻击Windows域控制器或其他的Windows服务器。该漏洞的技术细节和概念验证(PoC)代码已公开。目前微软暂未发布漏洞修复补丁,但针对该漏洞已给出临时缓解方法。建议受影响用户通过微软给出临时缓解方法进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞描述

MS-EFSRPC是Microsoft的加密文件系统远程协议,用于对远程存储和通过网络访问的加密数据进行维护和管理。

攻击者利用该漏洞可使域控制器使用MS-EFSRPC接口对远程NTLM服务器进行身份验证并共享其身份验证信息,从而允许攻击者发起NTLM中继攻击并完全接管Windows域。

四、影响范围

  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2016
  • Windows Server, version 20H2 (Server Core Installation)
  • Windows Server, version 2004 (Server Core installation)
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2019

五、安全建议

目前微软官方暂未发布安全更新,建议用户通过临时缓解方法进行防护。

1. 微软建议客户在域控制器上禁用NTLM 身份验证。

2. 若暂时无法关闭NTLM,也可采取以下两个步骤的任意一个来缓解影响:

  • 使用组策略在域中的任何AD CS服务器上禁用NTLM;
  • 在运行Certificate Authority Web Enrollment或者Certificate Enrollment Web Service服务的域中的AD CS服务器上禁用Internet信息服务(IIS)的NTLM。

六、参考链接

  • https://msrc.microsoft.com/update-guide/vulnerability/ADV210003
  • https://thehackernews.com/2021/07/new-petitpotam-ntlm-relay-attack-lets.html