在法国安全研究员Gilles Lionel披露了一个新的NTLM中继攻击后，一个新的安全问题一直困扰着企业网络管理员，该攻击允许黑客接管域控制器或其他Windows服务器。

该攻击被命名为PetitPotam，几天前被披露，允许使用概念验证代码。

大家好。
用MS-RPRN来强迫机器认证是很好的，但现在大多数orgz的管理员经常禁用这项服务。
下面是我们通过MS-EFSRPC来获取机器账户认证的另一种方法。请欣赏！！https://t.co/AGiS4f6yt8

– topotam（@topotam77）2021年7月18日

该漏洞使用微软加密文件系统远程协议（EFSRPC）迫使设备，包括域控制器，向恶意的远程NTLM中继认证，然后可以用来窃取哈希和证书，并假定实际设备的身份及其权限。

然而，微软并没有过度惊慌，它说：

微软意识到PetitPotam有可能被用于攻击Windows域控制器或其他Windows服务器。PetitPotam是一种典型的NTLM中继攻击，这种攻击以前已经被微软记录下来，并有许多缓解方案来保护客户。例如，Microsoft Security Advisory 974926。

为了防止在启用了NTLM的网络上发生NTLM中继攻击，网域管理员必须确保允许NTLM认证的服务使用扩展认证保护（EPA）或签名功能（如SMB签名）等保护措施。PetitPotam利用了未配置针对NTLM中继攻击的保护措施的Active Directory证书服务（AD CS）的服务器。KB5005413中概述的缓解措施指导客户如何保护他们的AD CS服务器免受此类攻击。

苹果发布新机发布后：iPhone XS下架、XR降价

如果您的域中启用了NTLM认证，并且您在使用活动目录证书服务（AD CS）与以下任何服务时，您有可能受到这种攻击。

• 证书颁发机构网络注册

• 证书注册网络服务

因此，简单的解决办法是在没有必要的地方禁用NTLM，例如域控制器，或者启用认证的扩展保护机制，或者启用NTLM认证来使用签名功能，例如SMB签名。

与PrintNightmare一样，这可能只是PetitPotam传奇的第一章，因为Gilles Lionel告诉BleepingComputer，PetitPotam允许其他攻击，例如对NTLMv1的降级攻击，它使用数据加密标准（DES）–一种不安全的算法，由于其短的56位密钥生成，很容易恢复密码散列，允许本地权限升级攻击。

微软也没有解决攻击中使用的EFSRPC协议。

在这里阅读微软的公告，以及BleepingComputer的更多信息。

Via MSPoweruser