使用 PetitPotam 攻擊獲取 Windows 系統的密碼哈希

安全研究員 Gilles Lionel（又名 Topotam）在 Windows 操作系統中發現了一個漏洞，攻擊者可以利用該漏洞強制遠程 Windows 機器進行身份驗證并與他共享密碼哈希。襲擊的消息首先由 The Record報道。

該攻擊濫用遠程加密文件系統 (EFSRPC)協議，該協議用于對遠程存儲并通過網絡訪問的加密數據執行維護和管理操作。

Lionel 還在GitHub 上發布了概念驗證 (PoC) 漏洞利用代碼。

“通過 MS-EFSRPC EfsRpcOpenFileRaw 函數強制 Windows 主機向其他機器進行身份驗證的 PoC 工具。這也可以通過其他協議和功能實現。” 閱讀專家提供的描述。

“這些工具使用帶有接口 c681d488-d850-11d0-8c52-00c04fd90f7e 的 LSARRPC 命名管道，因為它更普遍。但是可以使用 EFSRPC 命名管道和接口 df1941c5-fe89-4e79-bf10-463657acf44d 觸發。”

在專家演示的 PetitPotam 攻擊中，他將 SMB 請求發送到遠程系統的 MS-EFSRPC 接口，并強制其系統啟動身份驗證程序并共享其 NTLM 身份驗證哈希。

NTLM 身份驗證哈希可用于執行中繼攻擊或最近可以破解以獲取受害者的密碼。PetitPotam 攻擊可能非常危險，因為它允許攻擊者接管域控制器并危害整個組織。

大家好，
MS-RPRN 強制機器身份驗證很棒，但是現在大多數 orgz 上的管理員經常禁用該服務。
這是我們用來通過 MS-EFSRPC 獲取機器帳戶身份驗證的另一種方法。享受！！https://t.co/AGiS4f6yt8
— topotam (@topotam77) 2021 年 7 月 18 日

Gilles 強調，禁用對 MS-EFSRPC 的支持并不能緩解這種攻擊。在撰寫本文時，尚無解決方法來緩解此問題。

Lionel告訴 BleepingComputer，這是一個漏洞，而不是濫用合法功能。 

該攻擊可能會影響大多數受支持的 Windows 版本，它已成功針對 Windows 10、Windows Server 2016 和 Windows Server 2019 系統進行測試。

Mimikatz 的作者 Benjamin Delpy 也成功測試了 PetitPotam 攻擊并發布了該攻擊的視頻 PoC。

是時候玩轉#mimikatz & #kekeo & #impacket
如果您有 Windows PKI 及其 WebServer，您會遇到問題
* 擁有完整域 *
> https://t.co/Wzb5GAfWfd
> https沒有身份驗證/憑據：//t.co/x3n9B8HHGT
@ topotam77 EFS與PetitPotam
@ExAndroidDev PR pic.twitter.com/Z2qn1NM9zx
—本杰明·德爾佩 (@gentilkiwi) ，2021 年 7 月 23 日