马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
法國資安研究員Gilles Lionel揭露可接管AD網域的漏洞PetitPotam,藉由遠端檔案系統加密(Encrypting File System Remote,EFSRPC)協定,強制網域控制器向惡意伺服器進行NTLM驗證,進而取得網域的控制權。 針對網域控制器(DC)的弱點,一年前有Zerologon(CVE-2020-1472),一旦攻擊者對於存在此漏洞的網域控制器建立TCP連線,就能在無需帳密的情況下,取得AD管理員的權限,進而控制整個網域。而最近有資安研究員發現另一個可掌控DC的漏洞PetitPotam,影響Windows Server 2008以後的伺服器作業系統,微軟隨後也發布公告,並提出緩解措施,但還沒有修補程式。 這個漏洞最早是法國資安研究員Gilles Lionel所揭露,與遠端檔案系統加密(Encrypting File System Remote,EFSRPC)協定遭到濫用有關,攻擊者一旦運用PetitPotam,就能夠藉著EFSRPC通訊協定,發動NT LAN Manager(NTLM)中繼攻擊,強制網域控制器或其他Windows電腦,向惡意伺服器執行NTLM驗證,攻擊者便能從中竊取密碼雜湊值,冒用向惡意伺服器驗證的使用者與裝置身分,進而控制整個AD網域。Gilles Lionel也提供了概念性驗證(PoC)攻擊程式,並強調光是關閉EFSRPC,還是無法緩解PetitPotam所帶來的風險。
|