PetitPotam漏洞恐讓攻擊者挾持AD網域，多個版本Windows Server都... - 安危情报站

法國資安研究員Gilles Lionel揭露可接管AD網域的漏洞PetitPotam，藉由遠端檔案系統加密（Encrypting File System Remote，EFSRPC）協定，強制網域控制器向惡意伺服器進行NTLM驗證，進而取得網域的控制權。

針對網域控制器（DC）的弱點，一年前有Zerologon（CVE-2020-1472），一旦攻擊者對於存在此漏洞的網域控制器建立TCP連線，就能在無需帳密的情況下，取得AD管理員的權限，進而控制整個網域。而最近有資安研究員發現另一個可掌控DC的漏洞PetitPotam，影響Windows Server 2008以後的伺服器作業系統，微軟隨後也發布公告，並提出緩解措施，但還沒有修補程式。

這個漏洞最早是法國資安研究員Gilles Lionel所揭露，與遠端檔案系統加密（Encrypting File System Remote，EFSRPC）協定遭到濫用有關，攻擊者一旦運用PetitPotam，就能夠藉著EFSRPC通訊協定，發動NT LAN Manager（NTLM）中繼攻擊，強制網域控制器或其他Windows電腦，向惡意伺服器執行NTLM驗證，攻擊者便能從中竊取密碼雜湊值，冒用向惡意伺服器驗證的使用者與裝置身分，進而控制整個AD網域。Gilles Lionel也提供了概念性驗證（PoC）攻擊程式，並強調光是關閉EFSRPC，還是無法緩解PetitPotam所帶來的風險。