经验知识

如何保护你的网络免受PetitPotam中继攻击的方法

微信扫一扫,分享到朋友圈

如何保护你的网络免受PetitPotam中继攻击的方法
收藏 0 0

在法国安全研究员Gilles Lionel披露了一个新的NTLM中继攻击后,一个新的安全问题一直困扰着企业网络管理员,该攻击允许黑客接管域控制器或其他Windows服务器。

该攻击被命名为PetitPotam,几天前被披露,允许使用概念验证代码。

大家好。
用MS-RPRN来强迫机器认证是很好的,但现在大多数orgz的管理员经常禁用这项服务。
下面是我们通过MS-EFSRPC来获取机器账户认证的另一种方法。请欣赏!!https://t.co/AGiS4f6yt8

– topotam(@topotam77)2021年7月18日

该漏洞使用微软加密文件系统远程协议(EFSRPC)迫使设备,包括域控制器,向恶意的远程NTLM中继认证,然后可以用来窃取哈希和证书,并假定实际设备的身份及其权限。

然而,微软并没有过度惊慌,它说:

微软意识到PetitPotam有可能被用于攻击Windows域控制器或其他Windows服务器。PetitPotam是一种典型的NTLM中继攻击,这种攻击以前已经被微软记录下来,并有许多缓解方案来保护客户。例如,Microsoft Security Advisory 974926

为了防止在启用了NTLM的网络上发生NTLM中继攻击,网域管理员必须确保允许NTLM认证的服务使用扩展认证保护(EPA)或签名功能(如SMB签名)等保护措施。PetitPotam利用了未配置针对NTLM中继攻击的保护措施的Active Directory证书服务(AD CS)的服务器。KB5005413中概述的缓解措施指导客户如何保护他们的AD CS服务器免受此类攻击。

如果您的域中启用了NTLM认证,并且您在使用活动目录证书服务(AD CS)与以下任何服务时,您有可能受到这种攻击。

  • 证书颁发机构网络注册

  • 证书注册网络服务

因此,简单的解决办法是在没有必要的地方禁用NTLM,例如域控制器,或者启用认证的扩展保护机制,或者启用NTLM认证来使用签名功能,例如SMB签名。

与PrintNightmare一样,这可能只是PetitPotam传奇的第一章,因为Gilles Lionel告诉BleepingComputer,PetitPotam允许其他攻击,例如对NTLMv1的降级攻击,它使用数据加密标准(DES)–一种不安全的算法,由于其短的56位密钥生成,很容易恢复密码散列,允许本地权限升级攻击。

微软也没有解决攻击中使用的EFSRPC协议。

在这里阅读微软的公告,以及BleepingComputer的更多信息

Via MSPoweruser

上一篇

微软的PrintNightmare补丁正在破坏基于智能卡的企业打印

下一篇

Edge 92现在将默认限制自动播放的媒体

你也可能喜欢

发表评论

您的电子邮件地址不会被公开。 必填项已用 * 标注

提示:点击验证后方可评论!

 

插入图片

微信扫一扫

微信扫一扫

全站广告位招租

本站所有广告位优惠活动任意选,1个200元/月。 联系QQ号:326406161