< 返回新闻公共列表

PetitPotam漏洞恐讓攻擊者挾持AD網域,多個版本Windows Server都有這個漏洞,且沒有修補程式!

发布时间:2021-07-30 10:09:32

法國資安研究員Gilles Lionel揭露可接管AD網域的漏洞PetitPotam,藉由遠端檔案系統加密(Encrypting File System Remote,EFSRPC)協定,強制網域控制器向惡意伺服器進行NTLM驗證,進而取得網域的控制權。

針對網域控制器(DC)的弱點,一年前有Zerologon(CVE-2020-1472),一旦攻擊者對於存在此漏洞的網域控制器建立TCP連線,就能在無需帳密的情況下,取得AD管理員的權限,進而控制整個網域。而最近有資安研究員發現另一個可掌控DC的漏洞PetitPotam,影響Windows Server 2008以後的伺服器作業系統,微軟隨後也發布公告,並提出緩解措施,但還沒有修補程式。

這個漏洞最早是法國資安研究員Gilles Lionel所揭露,與遠端檔案系統加密(Encrypting File System Remote,EFSRPC)協定遭到濫用有關,攻擊者一旦運用PetitPotam,就能夠藉著EFSRPC通訊協定,發動NT LAN Manager(NTLM)中繼攻擊,強制網域控制器或其他Windows電腦,向惡意伺服器執行NTLM驗證,攻擊者便能從中竊取密碼雜湊值,冒用向惡意伺服器驗證的使用者與裝置身分,進而控制整個AD網域。Gilles Lionel也提供了概念性驗證(PoC)攻擊程式,並強調光是關閉EFSRPC,還是無法緩解PetitPotam所帶來的風險。

網絡安全專家 亞洲雲海 DDoS攻擊/CC攻擊無上限防禦 大陸地區/海外地區加速 超高性能服務器 全球分佈式優質資源部署 詳情訪問 www.myasiacloud.com/clouddf 客服聯繫小飛機 @myasiacloud66


/template/Home/Zkeys2/PC/Static