安全厂商释出PetitPotam漏洞非官方修补程式

上周安全研究人员揭露新的Windows网域控制器（domain control）漏洞PetitPotam。在微软赶制修补程式期间，安全厂商先释出修补程式，供有紧急需求的企业下载。

PetitPotam是由安全研究人员Gilles Lionel揭露Windows NT LAN Manager (NTLM)中继攻击（NTLM relay attack）的新手法。它是滥用微软加密档案系统远端协定（Microsoft Encrypting File System Remote Protocol，EFSRPC）强制Windows装置，包括网域控制器（domain controller，DC）验证由攻击者控制的远端NTLM relay服务器的连线。只要某台Windows装置验证了恶意NTLM服务器，攻击者就可以窃取其杂凑和凭证，然后冒用这台装置身份及其权限。

CERT/CC安全研究专家Will Dormann说明，这项漏洞和攻击手法可能让骇客接管整个网域，包括发布新的群组政策，或在所有连线端点上植入恶意程式。

微软上周提供缓解方法，建议用户关闭没必要的NTLM（即DC），或是启动“验证延伸保护（Extended Protection for Authentication）”机制来保护Windows服务器上的登入账密。此外微软建议启动NTLM的网络应使用SMB签章等功能来执行NTLM验证。但是微软当时尚未能提供修补程式。

但新研究人员Mitja Kolsek指出，微软的作法暗示他们并不认为这是一个漏洞，而只是组态不正确，才会只提供一般性的缓解建议。

PetitPotam影响Windows Server 2008 R2、2012 R2、2016及2019。0Patch释出的修补程式可在微软释出官方更新前，解决上述版本漏洞问题。用户需注册才能从其网站（0patch.com）下载。

0Patch测试证实，PetitPotam并不影响Server 2012（非R2）、2018（非R2）以及Server 2003。

知名安全研究人员Benjamin Delpy昨日表示，现在期望本周的Patch Tuesday可以提供PetitPotam、Hivenightmare（CVE-2021-36934）与Printnightmare的官方更新。但微软认为Printnightmare已经修补好了。