微软分享缓解PetitPotam NTML中继攻击的方法

[[413154]]

几天前,法国安全研究人员 Gilles Lionel 披露了一种新式 NTLM 中继攻击。若得逞,黑客将接管域控制器或其它 Windows 服务器。随着 PetitPotam 概念验证代码的披露,这也成为了困扰企业网络管理员的一个新安全问题。

具体说来是,该漏洞利用了微软加密文件系统远程协议(简称 EFSRPC),以强制设备(包括域控制器)向恶意的远程 NTLM 中继进行身份验证。

基于此,攻击者便可窃取哈希证书,并获得假定设备的实际身份与特权。

庆幸的是,微软已经知晓了 PetitPotam 攻击可被用于攻击 Windows域控制器或其它 Windows 服务。

作为一种经典的 NTLM 中继攻击,微软此前已记录过类似的事件,并且提供了一些用户保护客户免受威胁的缓解选项(参考 974926安全通报)。

为防止在启用了 NTLM 的网络上发生中继攻击,域管理员必须确保其身份验证服务已启用相应的保护措施,比如 EPA 身份验证扩展保护、或 SMB 签名功能。

据悉,PetitPotam 会利用未妥善配置 Active Directory 证书保护服务(AD CS)的服务器。有需要的客户,可参考 KB5005413 中概述的缓解措施。

微软指出,如果企业已在域中启用了 NTLM 身份验证,并将 Active Directory 证书服务与以下任何服务一起使用,就极易受到 PetiPotam 攻击的影响:

  • Certificate Authority Web Enrollment
  • Certificate Enrollment Web Service

基于此,最简单的解决方案,就是在不需要的情况下禁用 NTLM,例如域控制器、启用身份验证机制的扩展保护、或启用 NTLM 身份验证以使用签名功能。

最后,与 PrintNightmare 一样,这很可能是 PetitPotam 系列攻击的第一章。

Gilles Lionel 在接受 BleepingComputer 采访时称,PetitPotam 还允许其它形式的攻击,例如对使用 DES 数据加密标准的 NTLMv1 进行降级攻击。

作为一种不安全的算法,其仅使用了 56 位密钥生成,因而很容易被攻击者恢复哈希后的密码,并导致本地特权提升攻击。

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/128772.html<

(0)
管理的头像管理
上一篇2025-02-25 07:28
下一篇 2025-02-25 07:30

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注