Windows 新漏洞可被用于强制服务器以攻击者身份认证,官方缓解措施已发布
编译:奇安信代码卫士
法国安全研究员 Gilles Lionel 在 Windows 操作系统中发现一个新的安全缺陷,可被用于强制远程 Windows 服务器以攻击者身份认证并共享 NTLM 认证详情或认证证书。
Lionel 将该攻击命名为 “PetitPotam”,已在 GitHub 发布 PoC 代码。Lionel 指出,当攻击者滥用 MS-EFSRPC 协议时就会触发该漏洞。该漏洞可导致 Windows 机器对存储在远程系统上的加密数据执行各种操作。
PetitPotam 攻击的 PoC 代码可使攻击者将 SMB 请求发送至远程系统的 MS-EFSRPC 界面并强制受害者计算机发起认证程序并共享认证详情。之后攻击者可收集该数据并滥用它作为 NTLM 中继攻击的一部分获得对在同样内网上远程系统的访问权限。
非常危险的漏洞
PetitPotam 无法在互联网上被远程利用,它旨在用于大型企业内网,强制域名控制器交出 NTLM 密码哈希或认证证书,从而导致企业内网被完全接管。Gilles 和其他安全研究员执行的测试表明,禁用对 MS-EFSRPC 的支持无法阻止攻击。
虽然该攻击适用于 Windows Server 2016 和 Windows Server 2019 系统,但安全研究人员认为 PetitPotam 影响目前支持的多数 Windows Server 版本。
微软未就此事置评,不过在本文发布后已发布官方缓解措施。
艰难的补丁推出期
总体而言,微软正在经历艰难的补丁期。这是继上个月 PrintNightmare 和 SeriousSAM (HiveNightmare) 漏洞之后发现的第三个重大安全漏洞。
Nextron Systems 公司的研发主管 Florian Roth 指出,“这种攻击的问题在于,它耗费大量时间和精力才能开发出恰当的应对措施。”他补充表示,“它们是设计缺陷,修复难度更大。要比修复易受攻击的字体驱动 DLL 或 IE 库难得多。”
Windows PrintNightmare 漏洞和补丁分析
Windows DWrite 组件 RCE 漏洞 (CVE-2021-24093) 分析
https://therecord.media/new-petitpotam-attack-forces-windows-hosts-to-share-their-password-hashes/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。