Windows 新漏洞可被用于强制服务器以攻击者身份认证，官方缓解措施已发布

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

Lionel 将该攻击命名为 “PetitPotam”，已在 GitHub 发布 PoC 代码。Lionel 指出，当攻击者滥用 MS-EFSRPC 协议时就会触发该漏洞。该漏洞可导致 Windows 机器对存储在远程系统上的加密数据执行各种操作。

PetitPotam 攻击的 PoC 代码可使攻击者将 SMB 请求发送至远程系统的 MS-EFSRPC 界面并强制受害者计算机发起认证程序并共享认证详情。之后攻击者可收集该数据并滥用它作为 NTLM 中继攻击的一部分获得对在同样内网上远程系统的访问权限。

PetitPotam 无法在互联网上被远程利用，它旨在用于大型企业内网，强制域名控制器交出 NTLM 密码哈希或认证证书，从而导致企业内网被完全接管。Gilles 和其他安全研究员执行的测试表明，禁用对 MS-EFSRPC 的支持无法阻止攻击。

虽然该攻击适用于 Windows Server 2016 和 Windows Server 2019 系统，但安全研究人员认为 PetitPotam 影响目前支持的多数 Windows Server 版本。

微软未就此事置评，不过在本文发布后已发布官方缓解措施。

总体而言，微软正在经历艰难的补丁期。这是继上个月 PrintNightmare 和 SeriousSAM (HiveNightmare) 漏洞之后发现的第三个重大安全漏洞。

Nextron Systems 公司的研发主管 Florian Roth 指出，“这种攻击的问题在于，它耗费大量时间和精力才能开发出恰当的应对措施。”他补充表示，“它们是设计缺陷，修复难度更大。要比修复易受攻击的字体驱动 DLL 或 IE 库难得多。”