首页保安PetitPotam 攻击:微软已发布缓解措施

PetitPotam 攻击:微软已发布缓解措施

Η 微软 被释放了 缓解措施 对于最近发现的 攻击 PetitPotam NTLM 那可能允许 黑客 拿一个 域控制器. 几天前,安全调查员 吉尔斯莱昂内尔 (也称为 托波坦) 发现了一个 漏洞 在操作系统中 Windows 这允许攻击者强制远程 Windows 设备与他共享他们的密码哈希。

在袭击过程中, 远程文件加密协议 (EFSRPC),用于对远程存储的加密数据进行维护和管理。

PetitPotam 技术 可能会影响大多数受支持的 Windows 版本,而 已在 Windows 10、Windows Server 2016 和 Windows Server 2019 上成功测试.

Lionel 还在 GitHub 上发布了项目证明 (PoC)。

PetitPotam - 微软攻击
PetitPotam 攻击:微软已发布缓解措施

阅读: 微软:警告 Windows 用户注意新的骗局!

在专家演示的 PetitPotam 攻击中,他将 SMB 请求发送到远程系统的 MS-EFSRPC 接口,并强制他的系统启动身份验证过程并共享 NTLM 身份验证哈希。

NTLM 身份验证哈希可用于 进行重传攻击 (中继)或可能“破解”以获取受害者的密码。 PetitPotam 攻击可以 非常危险,因为它允许入侵者 接管域控制器并破坏整个组织.

继 PetitPotam 攻击技术曝光后,微软发布了一份 安全咨询 其中包括针对此次攻击的缓解措施。 该公司指出,PetitPotam 是一个 经典的 NTLM 广播攻击,这家科技巨头已经深入记录的攻击类别。 Microsoft 声明域管理员必须保护 NTLM 身份验证服务,以防止对启用 NTLM 的网络进行 NTLM 重新传输攻击。

PetitPotam - 微软攻击
PetitPotam 攻击:微软已发布缓解措施

另请参阅: LemonDuck:微软警告针对 Windows 和 Linux 的加密恶意软件

“微软知道 PetitPotam,它可用于攻击 Windows 域控制器或其他 Windows 服务器。 PetitPotam 是一种经典的 NTLM 攻击,Microsoft 之前已经记录了此类攻击以及许多用于保护客户的缓解选项。 例如,见 Microsoft 974926 安全提示. 为了防止对启用 NTLM 的网络进行 NTLM 重传攻击,域管理员必须确保 NTLM 身份验证服务使用保护(例如扩展身份验证保护 (EPA))或签名功能(例如 SMB 签名)。 PetitPotam 利用未配置 Active Directory (AD CS) 证书服务以防止 NTLM 重定向攻击的服务器。 KB5005413 中描述的缓解措施指导客户如何保护 AD CS 服务器免受此类攻击。”

在其域上启用 NTLM 身份验证并将 Active Directory (AD CS) 证书服务与以下任何服务结合使用的组织:

  • 证书颁发机构 Web 注册
  • 证书注册网络服务
PetitPotam 攻击 - 微软
PetitPotam 攻击:微软已发布缓解措施

更暴露。

提案: 微软:警告 Windows Print Spooler 中的新漏洞

Microsoft 建议在不需要时禁用 NTLM 或启用身份验证扩展保护以保护 Windows 计算机上的凭据。 然而, 专家批评缓解措施 因为它没有明确解决 EFSRPC 协议的滥用问题。

信息来源:securityaffairs.co

波哈康塔斯https://www.secnews.gr
每一项成就都始于尝试的决定。

实时新闻