Lansweeper 試用
微軟發(fā)布了一個新的安全公告,涉及PetitPotam���。據(jù)微軟稱,這是一個典型的NTLM中繼攻擊��,但是當被利用時����,它可以通過強迫域控制器與惡意的目的地進行認證而導(dǎo)致域的接管��。
微軟正在經(jīng)歷一個艱難的時期��,因為PetitPotam是繼PrintNightmare和SeriousSAM漏洞之后����,過去一個月披露的第三個重大Windows安全問題。
什么是PetitPotam�����?
PetitPotam是上周由安全研究員Gilles Lionel披露的�����。在他的GitHub中,他解釋了他是如何 "通過MS-EFSRPC EfsRpcOpenFileRaw函數(shù)脅迫Windows主機對其他機器進行認證"��。
加密文件系統(tǒng)遠程(EFSRPC)協(xié)議是一個用于對遠程存儲并通過網(wǎng)絡(luò)訪問的加密數(shù)據(jù)進行維護和管理的協(xié)議��。它經(jīng)常被用來管理遠程文件服務(wù)器上的文件����,這些文件是使用加密文件系統(tǒng)(EFS)進行加密的。
具體內(nèi)容詳述了該攻擊如何允許域控制器使用MS-EFSRPC對攻擊者控制下的遠程NTLM進行認證�����。
大家好����,
強制機器身份驗證的 MS-RPRN 很棒,但現(xiàn)在大多數(shù) orgz 上的管理員經(jīng)常禁用該服務(wù)�����。
這是我們用來通過 MS-EFSRPC 獲取機器帳戶身份驗證的另一種方法�����。
— topotam (@topotam77)2021 年 7 月 18 日
緩解
Microsoft 發(fā)布了一份建議��,其中包含有關(guān)如何緩解此類攻擊的更多詳細信息。 首選的緩解措施是在您的域中完全禁用 NTLM 身份驗證��。 為此���,您可以按照 Microsoft 文檔網(wǎng)絡(luò)安全:限制 NTLM:此域中的 NTLM 身份驗證中的步驟操作���。
如果您出于兼容性原因無法在您的域上禁用 NTLM,建議的其他緩解措施如下����。 它們按更安全到更不安全的順序列出:
- 使用組策略網(wǎng)絡(luò)安全:限制 NTLM:傳入 NTLM 流量在您域中的任何 AD CS 服務(wù)器上禁用 NTLM�。 如果需要,您可以根據(jù)需要使用“網(wǎng)絡(luò)安全:限制 NTLM:在此域中添加服務(wù)器例外”設(shè)置添加例外�。
- 在運行“證書頒發(fā)機構(gòu) Web 注冊”或“證書注冊 Web 服務(wù)”服務(wù)的域中的 AD CS 服務(wù)器上禁用 Internet 信息服務(wù) (IIS) 的 NTLM。
要緩解各種 NTLM 中繼攻擊�,請在不需要的地方(例如 DC)禁用 NTLM 或?qū)嵤┚徑夤δ埽磳ι矸蒡炞C的擴展保護�。
— Security Response (@msftsecresponse) 2021 年 7 月 24 日
在 Lansweeper 相關(guān)注釋中,NTLM 用作 Kerberos 的后備方法��。 所以在大多數(shù)情況下�����,禁用 NTLM 應(yīng)該對 Lansweeper 掃描沒有影響。
查找關(guān)鍵服務(wù)器
雖然這種攻擊可以針對任何服務(wù)器��,但域控制器很可能會受到攻擊者的青睞��,借助 Lansweeper���,您可以輕松了解所有服務(wù)器的概況�����,包括它們的詳細信息和角色����。 通過這種方式����,您可以查看所有服務(wù)器以及其中哪些是域控制器,以便您知道在何處采取行動���。
PetitPotam 已修復(fù)
在 8 月的星期二補丁中����,微軟發(fā)布了與此漏洞相關(guān)的 CVE-2021-36942 的修復(fù)程序����。 如果您想輕松一點����,最好將您的域控制器更新為從 8 月補丁星期二或更高版本開始的 Microsoft 更新�。 您可以使用我們的 8 月補丁星期二報告來檢查您的 Windows 計算機是否已更新。
