Lansweeper：PetitPotam NTLM中继攻击允许域名被接管

 

 

Lansweeper 试用

 

微软发布了一个新的安全公告，涉及PetitPotam。据微软称，这是一个典型的NTLM中继攻击，但是当被利用时，它可以通过强迫域控制器与恶意的目的地进行认证而导致域的接管。

微软正在经历一个艰难的时期，因为PetitPotam是继PrintNightmare和SeriousSAM漏洞之后，过去一个月披露的第三个重大Windows安全问题。

什么是PetitPotam？

PetitPotam是上周由安全研究员Gilles Lionel披露的。在他的GitHub中，他解释了他是如何 "通过MS-EFSRPC EfsRpcOpenFileRaw函数胁迫Windows主机对其他机器进行认证"。

加密文件系统远程（EFSRPC）协议是一个用于对远程存储并通过网络访问的加密数据进行维护和管理的协议。它经常被用来管理远程文件服务器上的文件，这些文件是使用加密文件系统（EFS）进行加密的。

具体内容详述了该攻击如何允许域控制器使用MS-EFSRPC对攻击者控制下的远程NTLM进行认证。

大家好，

强制机器身份验证的 MS-RPRN 很棒，但现在大多数 orgz 上的管理员经常禁用该服务。

这是我们用来通过 MS-EFSRPC 获取机器帐户身份验证的另一种方法。

— topotam (@topotam77)2021 年 7 月 18 日

缓解

Microsoft 发布了一份建议，其中包含有关如何缓解此类攻击的更多详细信息。 首选的缓解措施是在您的域中完全禁用 NTLM 身份验证。 为此，您可以按照 Microsoft 文档网络安全：限制 NTLM：此域中的 NTLM 身份验证中的步骤操作。

如果您出于兼容性原因无法在您的域上禁用 NTLM，建议的其他缓解措施如下。 它们按更安全到更不安全的顺序列出： 

• 使用组策略网络安全：限制 NTLM：传入 NTLM 流量在您域中的任何 AD CS 服务器上禁用 NTLM。 如果需要，您可以根据需要使用“网络安全：限制 NTLM：在此域中添加服务器例外”设置添加例外。
• 在运行“证书颁发机构 Web 注册”或“证书注册 Web 服务”服务的域中的 AD CS 服务器上禁用 Internet 信息服务 (IIS) 的 NTLM。

 

要缓解各种 NTLM 中继攻击，请在不需要的地方（例如 DC）禁用 NTLM 或实施缓解功能，即对身份验证的扩展保护。

— Security Response (@msftsecresponse) 2021 年 7 月 24 日

在 Lansweeper 相关注释中，NTLM 用作 Kerberos 的后备方法。 所以在大多数情况下，禁用 NTLM 应该对 Lansweeper 扫描没有影响。

查找关键服务器

虽然这种攻击可以针对任何服务器，但域控制器很可能会受到攻击者的青睐，借助 Lansweeper，您可以轻松了解所有服务器的概况，包括它们的详细信息和角色。 通过这种方式，您可以查看所有服务器以及其中哪些是域控制器，以便您知道在何处采取行动。

PetitPotam 已修复

在 8 月的星期二补丁中，微软发布了与此漏洞相关的 CVE-2021-36942 的修复程序。 如果您想轻松一点，最好将您的域控制器更新为从 8 月补丁星期二或更高版本开始的 Microsoft 更新。 您可以使用我们的 8 月补丁星期二报告来检查您的 Windows 计算机是否已更新。