经过两周,微软正式于本周的Patch Tuesday安全更新中,修补影响Windows AD域名的PetitPotam漏洞。微软也证实该漏洞风险值高达9.8。
7月底代号Topotam的研究人员GILLES Lionel披露一个Windows NT LAN Manager(NTLM)中继攻击(NTLM relay attack)的新手法,他将之命名为PetitPotam。借由滥用微软加密文件系统远程协议(Microsoft Encrypting File System Remote Protocol,EFSRPC),攻击者可强制Windows设备,包括Windows域名控制器(Domain Controller,DC)验证由攻击者控制的远程NTLM relay服务器的连接,目的在窃取其散列和凭证以冒用这台Windows设备身份及其权限。PetitPotam攻击可导致攻击者接管整个Windows Active Directory(AD)域名,包括设置新群组政策,或在端点设备植入恶意程序。研究人员也发布了概念验证(PoC)程序。
虽然影响甚巨,但微软并未紧急修补,仅提供了关闭不必要的NTLM及执行SMB验证等缓解建议。安全厂商0Patch于是先提供了非官方的修补程序
PetitPotam影响版本为Windows Server 2008 R2、2012 R2、2016及2019,但并不影响Server 2012(非R2)、2018(非R2)以及Server 2003。
8月Patch Tuesday中,微软修补了编号CVE-2021-36942的Windows LSA(Local Security Authority)Spoofing漏洞。根据微软描述,未经授权的攻击者可调用LSARPC接口上的方法(method),迫使DC验证另一台(恶意)NTLM服务器。这次更新可封锁受影响的API通过LSARPC接口调用OpenEncryptedFileRawA和OpenEncryptedFileRawW函数。
虽然本漏洞CVSS 3.0分数为7.5,但微软警告,若漏洞用于针对Active Directory凭证服务(AD CS)的NTLM Relay攻击,则风险高达9.8。
PetitPotam是微软本月修补的三个零时差漏洞之一。这次更新另外修补了代号Hivenightmare,正式名称为CVE-2021-36934的漏洞。它是安全账号管理员(Security Accounts Manager,SAM)及多个系统文件上的访问控制表(ACL)权限扩张漏洞,可让攻击者以“系统”权限执行任意程序代码,造成黑客可读取、删改资料或新建完整用户权限的用户账号。
研究人员GossiTheDog也公布了针对Hivenightmare的PoC。