微软正式修补好重大风险漏洞PetitPotam

经过两周，微软正式于本周的Patch Tuesday安全更新中，修补影响Windows AD网域的PetitPotam漏洞。微软也证实该漏洞风险值高达9.8。

7月底代号Topotam的研究人员GILLES Lionel揭露一个Windows NT LAN Manager （NTLM）中继攻击（NTLM relay attack）的新手法，他将之命名为PetitPotam。借由滥用微软加密档案系统远端协定（Microsoft Encrypting File System Remote Protocol，EFSRPC），攻击者可强制Windows装置，包括Windows 网域控制器（Domain Controller，DC）验证由攻击者控制的远端NTLM relay服务器的连线，目的在窃取其杂凑和凭证以冒用这台Windows装置身份及其权限。PetitPotam攻击可导致攻击者接管整个Windows Active Directory（AD）网域，包括设定新群组政策，或在端点装置植入恶意程式。研究人员也释出了概念验证（PoC）程式。

虽然影响甚钜，但微软并未紧急修补，仅提供了关闭不必要的NTLM及执行SMB验证等缓解建议。安全厂商0Patch于是先提供了非官方的修补程式

PetitPotam影响版本为Windows Server 2008 R2、2012 R2、2016及2019，但并不影响Server 2012（非R2）、2018（非R2）以及Server 2003。

8月Patch Tuesday中，微软修补了编号CVE-2021-36942的Windows LSA（Local Security Authority）Spoofing漏洞。根据微软描述，未经授权的攻击者可呼叫LSARPC界面上的方法（method），迫使DC验证另一台（恶意）NTLM服务器。这次更新可封锁受影响的API透过LSARPC界面呼叫OpenEncryptedFileRawA和OpenEncryptedFileRawW函式。

虽然本漏洞CVSS 3.0分数为7.5，但微软警告，若漏洞用于针对Active Directory凭证服务（AD CS）的NTLM Relay攻击，则风险高达9.8。

PetitPotam是微软本月修补的三个零时差漏洞之一。这次更新另外修补了代号Hivenightmare，正式名称为CVE-2021-36934的漏洞。它是安全账号管理员（Security Accounts Manager，SAM）及多个系统档案上的存取控制表（ACL）权限扩张漏洞，可让攻击者以“系统”权限执行任意程式码，造成骇客可读取、删改资料或新建完整用户权限的使用者账号。

研究人员GossiTheDog也公布了针对Hivenightmare的PoC。