安全廠商釋出PetitPotam漏洞非官方修補程式

上周安全研究人員揭露新的Windows網域控制器（domain control）漏洞PetitPotam。在微軟趕製修補程式期間，安全廠商先釋出修補程式，供有緊急需求的企業下載。

PetitPotam是由安全研究人員Gilles Lionel揭露Windows NT LAN Manager (NTLM)中繼攻擊（NTLM relay attack）的新手法。它是濫用微軟加密檔案系統遠端協定（Microsoft Encrypting File System Remote Protocol，EFSRPC）強制Windows裝置，包括網域控制器（domain controller，DC）驗證由攻擊者控制的遠端NTLM relay伺服器的連線。只要某臺Windows裝置驗證了惡意NTLM伺服器，攻擊者就可以竊取其雜湊和憑證，然後冒用這臺裝置身份及其權限。

CERT/CC安全研究專家Will Dormann說明，這項漏洞和攻擊手法可能讓駭客接管整個網域，包括發佈新的群組政策，或在所有連線端點上植入惡意程式。

微軟上周提供緩解方法，建議用戶關閉沒必要的NTLM（即DC），或是啟動「驗證延伸保護（Extended Protection for Authentication）」機制來保護Windows伺服器上的登入帳密。此外微軟建議啟動NTLM的網路應使用SMB簽章等功能來執行NTLM驗證。但是微軟當時尚未能提供修補程式。

但新研究人員Mitja Kolsek指出，微軟的作法暗示他們並不認為這是一個漏洞，而只是組態不正確，才會只提供一般性的緩解建議。

PetitPotam影響Windows Server 2008 R2、2012 R2、2016及2019。0Patch釋出的修補程式可在微軟釋出官方更新前，解決上述版本漏洞問題。用戶需註冊才能從其網站（0patch.com）下載。

0Patch測試證實，PetitPotam並不影響Server 2012（非R2）、2018（非R2）以及Server 2003。

知名安全研究人員Benjamin Delpy昨日表示，現在期望本周的Patch Tuesday可以提供PetitPotam、Hivenightmare（CVE-2021-36934）與Printnightmare的官方更新。但微軟認為Printnightmare已經修補好了。