近期针对 Windows NTLM 中继攻击的安全更新已被确认为先前未修复的 PetitPotam 攻击媒介。

在 2022 年 5 月的星期二补丁中，微软发布了一个安全更新，针对一个 被积极利用的 NTLM 中继攻击 ，标记为“Windows LSA 欺骗漏洞”，跟踪号为 CVE-2022-26925。

“未经身份验证的攻击者可以调用 LSARPC 接口上的方法并强制域控制器使用 NTLM 向攻击者进行身份验证。此安全更新检测到 LSARPC 中的匿名连接尝试并禁止它。”

NTLM 中继攻击允许威胁参与者强制设备，甚至是域控制器，针对他们控制的恶意服务器进行身份验证。一旦设备通过身份验证，恶意服务器就可以冒充该设备并获得其所有权限。

这些攻击是重大问题，因为它们可以让威胁参与者获得对域的完全控制。

虽然微软没有透露太多有关该错误的细节，但他们表示该修复影响了 EFS API OpenEncryptedFileRaw(A/W) 函数，这表明这可能是 PetitPotam 攻击的另一个未修补向量。

确认成为 Petitotam 的一员
PetitPotam 是法国安全研究员 GILLES Lionel 在 7 月发现 的一种 NTLM 中继攻击，其编号为 CVE-2021-36942 ，又名Topotam。

PetitPotam 攻击允许未经身份验证的用户使用 MS-EFSRPC API 的 EfsRpcOpenFileRaw 函数来强制设备对攻击者控制的服务器执行 NTLM 身份验证。

可以在下面查看此攻击的演示。

虽然微软在 2021 年 8 月修复了部分 PetitPotam 漏洞，但仍有未修补的向量允许攻击者滥用该漏洞。

当我们联系 Microsoft 确认本月修补的 NTLM 中继向量是否与 PetitPotam 相关时，他们回复了一个没有回答我们问题的股票回复。

“5 月发布了安全更新。应用更新或启用自动更新的客户将受到保护。我们正在不断提高我们产品的安全性，并鼓励客户开启自动更新以帮助确保它们受到保护。” ​——微软发言人。

然而，ZZQIDC已经证实，最近修复的 NTLM 中继攻击漏洞确实修复了 PetitPotam 攻击的未修补向量。

微软将发现新的 NTLM Relay 漏洞归功于 Raphael John，他说他在 1 月和 3 月进行渗透测试时发现 PetitPotam 仍在工作。

然而，当他将其披露给 Microsoft 时，他们将其修复为新的 CVE，而不是分配给 PetitPotam 的原始 CVE。

“我在报告中非常清楚地表明，它只是 PetitPotam，我没有发现或改变任何东西，”拉斐尔约翰在一次谈话中告诉ZZQIDC。

微软修复后，PetitPotam 继续工作，因为 Topotam 发现了 8 月安全更新的旁路，并 于 2022 年 1 月将其添加到他的工具中。

Gilles 已向ZZQIDC证实，新的安全更新现已修复 PetitPotam 'EfsRpcOpenFileRaw' 向量，但其他 EFS 向量仍然存在，允许攻击起作用。

“petitpotam 的所有功能，与其他向量一样，除了 efsopenfileraw 之外仍然有效，”Gilles 告诉ZZQIDC。

由于将来会发现新的 PetitPotam 向量和其他 NTML 中继攻击，Microsoft 建议 Windows 域管理员熟悉其“缓解 Active Directory 证书服务 (AD CS) 上的 NTLM 中继攻击”支持文档中概述的缓解措施。