高危保安警报 (A21-07-18): Microsoft Windows 漏洞

Description:

Microsoft 发布了一个安全公告，以应对一个在 Windows 域名控制器或其他 Windows 伺服器上名为 PetitPotam 的 NTLM 传递攻击。攻击者需要在网络上拥有域名凭證才可进行攻击。

有报告指名为 PetitPotam 的 NTLM Relay Attack 概念验證 (PoC) 程式码已被公开。PetitPotam 允许攻击者在受影响的系统导致远端执行程式码、权限提升、仿冒诈骗及控制受影响系统。应对漏洞的修补程式仍未可获取，但 Microsoft 已提供一个有缓解选项的安全建议以减低风险。系统管理员应留意建议，并立即采取建议选项，以减低受到网络攻击的风险。

Affected Systems:

• Microsoft Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019
• Microsoft Windows Server, version 2004, version 20H2

Impact:

成功利用这个漏洞可以在受影响的系统导致远端执行程式码、权限提升、仿冒诈骗及控制受影响系统。

Recommendation:

截至 2021 年 7 月 28 日，受影响产品的修补程式尚未发布。系统管理员应检查是否启用了 NTLM 认證，Active Directory Certificate Services (AD CS) 是否与 Certificate Authority Web Enrollment 或 Certificate Enrollment Web Service 一起使用。有关缓解选项的详情请参考以下 URL：

https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

More Information:

• https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
• https://msrc.microsoft.com/update-guide/vulnerability/ADV210003
• https://www.hkcert.org/tc/security-bulletin/microsoft-ntlm-relay-attacks-on-active-directory-certificate-services_20210726
• https://us-cert.cisa.gov/ncas/current-activity/2021/07/27/microsoft-releases-guidance-mitigating-petitpotam-ntlm-relay