Windows MS-EFSRPC协议Ntlm Relay攻击风险通告，该漏洞尚无补丁

Windows 操作系统中一个新发现的安全漏洞被披露，漏洞被命名为“PetitPotam ”。该漏洞可能被用于攻击 Windows 域控制器或其他 Windows 服务器。PetitPotam 是一种经典的 NTLM 中继攻击，Microsoft 之前已经记录了此类攻击以及许多用于保护客户的缓解选项。腾讯安全专家建议用户参考微软官方的建议方案缓解风险。

漏洞描述：

攻击者利用该漏洞可使域控制器使用 MS-EFSRPC 接口对远程 NTLM 服务器进行身份验证，并共享其身份验证信息，从而允许攻击者发起 NTLM 中继攻击并完全接管 Windows 域。

这个被称为“PetitPotam”的漏洞是由国外安全研究员 Gilles Lionel 发现的，他上周分享了技术细节和概念验证 (PoC) 代码，并指出该漏洞通过强制“Windows 主机通过 MS 向其他机器进行身份验证而起作用” -EFSRPC EfsRpcOpenFileRaw 函数。”

MS-EFSRPC是 Microsoft 的加密文件系统远程协议，用于对远程存储和通过网络访问的加密数据执行“维护和管理操作”。

通过强制目标计算机启动身份验证程序并通过 NTLM 共享其散列密码，PetitPotam 攻击可以链接到针对 Windows Active Directory 证书服务 (AD CS) 的漏洞利用，以控制整个域。

如果域中启用了 NTLM 身份验证，并且您将 Active Directory 证书服务 (AD CS) 与以下任何服务一起使用，则您可能容易受到此攻击：

证书颁发机构 Web 注册；证书注册 Web 服务。

漏洞编号：

CVE暂缺，ADV210003

漏洞等级：严重，评分9.8

受影响的版本：

Windows  server 2008/2012/2016/2019/2004/20H2均受影响

安全版本：

暂无，该漏洞尚未发布补丁。

漏洞修复方案：

因微软暂未发布该漏洞的补丁，微软官方建议使用以下方式缓解风险：

1. 建议客户在域控制器上禁用 NTLM 身份验证。

2. 如果处于业务原因无法关闭 NTLM，也可采取以下两个步骤的任意一个来缓解影响：

- 使用组策略在域中的任何 AD CS 服务器上禁用 NTLM

- 在运行Certificate Authority Web Enrollment或者Certificate Enrollment Web Service服务的域中的 AD CS 服务器上禁用 Internet 信息服务 (IIS) 的 NTLM

时间线：

2021.7.23，微软发布安全公告

2021.7.27，腾讯安全发布风险通告

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

https://thehackernews.com/2021/07/new-petitpotam-ntlm-relay-attack-lets.html

扫描以下二维码关注“腾讯安全威胁情报中心”公众号，掌握最新的网络安全威胁情报。