Microsoft 發布了一個安全公告,以應對一個在 Windows 域名控制器或其他 Windows 伺服器上名為 PetitPotam 的 NTLM 傳遞攻擊。攻擊者需要在網絡上擁有域名憑證才可進行攻擊。
有報告指名為 PetitPotam 的 NTLM Relay Attack 概念驗證 (PoC) 程式碼已被公開。PetitPotam 允許攻擊者在受影響的系統導致遠端執行程式碼、權限提升、仿冒詐騙及控制受影響系統。應對漏洞的修補程式仍未可獲取,但 Microsoft 已提供一個有緩解選項的安全建議以減低風險。系統管理員應留意建議,並立即採取建議選項,以減低受到網絡攻擊的風險。
成功利用這個漏洞可以在受影響的系統導致遠端執行程式碼、權限提升、仿冒詐騙及控制受影響系統。
截至 2021 年 7 月 28 日,受影響產品的修補程式尚未發布。系統管理員應檢查是否啟用了 NTLM 認證,Active Directory Certificate Services (AD CS) 是否與 Certificate Authority Web Enrollment 或 Certificate Enrollment Web Service 一起使用。有關緩解選項的詳情請參考以下 URL:
https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429