一、漏洞情况
近日,Microsoft发布安全更新公告,披露了Windows操作系统中一个新发现的安全漏洞,漏洞被命名为“PetitPotam”。该漏洞可能被用于攻击Windows域控制器或其他的Windows服务器。该漏洞的技术细节和概念验证(PoC)代码已公开。目前微软暂未发布漏洞修复补丁,但针对该漏洞已给出临时缓解方法。建议受影响用户通过微软给出临时缓解方法进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。
二、漏洞等级
高危
三、漏洞描述
MS-EFSRPC是Microsoft的加密文件系统远程协议,用于对远程存储和通过网络访问的加密数据进行维护和管理。
攻击者利用该漏洞可使域控制器使用MS-EFSRPC接口对远程NTLM服务器进行身份验证并共享其身份验证信息,从而允许攻击者发起NTLM中继攻击并完全接管Windows域。
四、影响范围
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 (Server Core installation)
- Windows Server 2012
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2016 (Server Core installation)
- Windows Server 2016
- Windows Server, version 20H2 (Server Core Installation)
- Windows Server, version 2004 (Server Core installation)
- Windows Server 2019 (Server Core installation)
- Windows Server 2019
五、安全建议
目前微软官方暂未发布安全更新,建议用户通过临时缓解方法进行防护。
1. 微软建议客户在域控制器上禁用NTLM 身份验证。
2. 若暂时无法关闭NTLM,也可采取以下两个步骤的任意一个来缓解影响:
- 使用组策略在域中的任何AD CS服务器上禁用NTLM;
- 在运行Certificate Authority Web Enrollment或者Certificate Enrollment Web Service服务的域中的AD CS服务器上禁用Internet信息服务(IIS)的NTLM。
六、参考链接
- https://msrc.microsoft.com/update-guide/vulnerability/ADV210003
- https://thehackernews.com/2021/07/new-petitpotam-ntlm-relay-attack-lets.html