Windows Server用户小心！PetitPotam漏洞恐让攻击者挟持AD网域

针对网域控制器（DC）的弱点，一年前有Zerologon（CVE-2020-1472），一旦攻击者对于存在此漏洞的网域控制器建立TCP连线，就能在无需帐密的情况下，取得AD管理员的权限，进而控制整个网域。而最近有资安研究员发现另一个可掌控DC的漏洞PetitPotam，影响Windows Server 2008以后的服务器操作系统，微软随后也发布公告，并提出缓解措施，但还没有修补程式。

这个漏洞最早是法国资安研究员Gilles Lionel所揭露，与远端档案系统加密（Encrypting File System Remote，EFSRPC）协定遭到滥用有关，攻击者一旦运用PetitPotam，就能够借着EFSRPC通讯协定，发动NT LAN Manager（NTLM）中继攻击，强制网域控制器或其他Windows电脑，向恶意服务器执行NTLM验证，攻击者便能从中窃取密码杂凑值，冒用向恶意服务器验证的使用者与装置身份，进而控制整个AD网域。Gilles Lionel也提供了概念性验证（PoC）攻击程式，并强调光是关闭EFSRPC，还是无法缓解PetitPotam所带来的风险。

Hi all,
MS-RPRN to coerce machine authentication is great but the service is often disabled nowadays by admins on most orgz.
Here is one another way we use to elicit machine account auth via MS-EFSRPC. Enjoy!! :)https://t.co/AGiS4f6yt8

— topotam (@topotam77) July 18, 2021

针对PetitPotam，微软也于7月28日提出缓解措施（KB5005413），建议企业应启用身份验证的延伸保护措施（Extended Protection for Authentication，EPA），并停用Active Directory凭证服务（AD CS）服务器的HTTP连线存取能力。除上述措施，该公司认为，企业也应该考虑停用NTLM身份验证机制。