Windows MS-EFSRPC协议NTLM Relay攻击预警

      一、 基本情况

近日，Microsoft发布安全更新公告，披露了Windows操作系统中一个新发现的安全漏洞，漏洞被命名为“PetitPotam”。该漏洞可能被用于攻击Windows域控制器或其他的Windows服务器。该漏洞的技术细节和概念验证(PoC)代码已公开。目前微软暂未发布漏洞修复补丁，但针对该漏洞已给出临时缓解方法。建议受影响用户通过微软给出临时缓解方法进行防护，并做好资产自查以及预防工作，以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

MS-EFSRPC是Microsoft的加密文件系统远程协议，用于对远程存储和通过网络访问的加密数据进行维护和管理。

攻击者利用该漏洞可使域控制器使用MS-EFSRPC接口对远程NTLM服务器进行身份验证并共享其身份验证信息，从而允许攻击者发起NTLM中继攻击并完全接管Windows域。

      四、 影响范围

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server, version 20H2 (Server Core Installation)

Windows Server, version 2004 (Server Core installation)

Windows Server 2019 (Server Core installation)

Windows Server 2019

      五、 安全建议

目前微软官方暂未发布安全更新，建议用户通过临时缓解方法进行防护。

1. 微软建议客户在域控制器上禁用NTLM 身份验证。

2. 若暂时无法关闭NTLM，也可采取以下两个步骤的任意一个来缓解影响：

1)使用组策略在域中的任何AD CS服务器上禁用NTLM；

2)在运行Certificate Authority Web Enrollment或者Certificate Enrollment Web Service服务的域中的AD CS服务器上禁用Internet信息服务(IIS)的NTLM。

      六、 参考链接

https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

https://thehackernews.com/2021/07/new-petitpotam-ntlm-relay-attack-lets.html