安全厂商发布PetitPotam漏洞非官方修补程序

上周安全研究人员披露新的Windows域名控制器(domain control)漏洞PetitPotam。在微软赶制修补程序期间,安全厂商先发布修补程序,供有紧急需求的企业下载。

PetitPotam是由安全研究人员Gilles Lionel披露Windows NT LAN Manager (NTLM)中继攻击(NTLM relay attack)的新手法。它是滥用微软加密文件系统远程协议(Microsoft Encrypting File System Remote Protocol,EFSRPC)强制Windows设备,包括域名控制器(domain controller,DC)验证由攻击者控制的远程NTLM relay服务器的连接。只要某台Windows设备验证了恶意NTLM服务器,攻击者就可以窃取其散列和凭证,然后冒用这台设备身份及其权限。

CERT/CC安全研究专家Will Dormann说明,这项漏洞和攻击手法可能让黑客接管整个域名,包括发布新的群组政策,或在所有连接端点上植入恶意程序。

微软上周提供缓解决方案法,建议用户关闭没必要的NTLM(即DC),或是启动“验证延伸保护(Extended Protection for Authentication)”机制来保护Windows服务器上的登录帐密。此外微软建议启动NTLM的网络应使用SMB签章等功能来执行NTLM验证。但是微软当时尚未能提供修补程序。

但新研究人员Mitja Kolsek指出,微软的做法暗示他们并不认为这是一个漏洞,而只是组态不正确,才会只提供一般性的缓解建议。

PetitPotam影响Windows Server 2008 R2、2012 R2、2016及2019。0Patch发布的修补程序可在微软发布官方更新前,解决上述版本漏洞问题。用户需注册才能从其网站(0patch.com)下载。

0Patch测试证实,PetitPotam并不影响Server 2012(非R2)、2018(非R2)以及Server 2003。

知名安全研究人员Benjamin Delpy昨日表示,现在期望本周的Patch Tuesday可以提供PetitPotam、Hivenightmare(CVE-2021-36934)与Printnightmare的官方更新。但微软认为Printnightmare已经修补好了。

发表评论