PC Health CheckWindows 11 Pro ISO文件在哪下载最新版?如何下载原装纯净版Win11 ?点击进入 持续更新!
安全研究员 Gilles Lionel(又名Topotam)上个月披露了PetitPotam 攻击向量 ,该攻击向量强制 Windows 机器使用 Microsoft 加密文件系统远程协议 ( EFSRPC )对威胁行为者的恶意 NTLM 中继服务器进行身份验证。
使用这种攻击方法,攻击者可以完全接管 Windows 域,允许他们在所有端点上推送新的组策略和部署恶意软件(包括勒索软件)。
7 月,微软发布了一份 安全公告, 解释了如何缓解针对 Active Directory 证书服务 (AD CS) 的 NTLM 中继攻击,并表示未正确配置易受攻击的服务器。
虽然 Microsoft 的建议旨在帮助防止 NTLM 中继攻击,但它并未提供有关如何实际阻止 PetitPotam 的任何指导,PetitPotam 也可用作其他攻击(如 NTLMv1 降级)的载体。
提供免费的 PetitPotam 微补丁
该 0patch micropatching服务 的今天,可以用来阻止以下Windows版本PetitPotam NTLM中继攻击自由非官方补丁已经发布:
- Windows Server 2019(更新为 2021 年 7 月更新)
- Windows Server 2016(更新为 2021 年 7 月更新)
- Windows Server 2012 R2(更新为 2021 年 7 月更新)
- Windows Server 2008 R2(更新为 2020 年 1 月更新,无扩展安全更新)
没有为 Windows Server 2012(非 R2)、Windows Server 2008(非 R2)和 Windows Server 2003 发布微补丁,因为根据 0patch 的分析,这些版本不受 PetitPotam 的影响。
要在您的系统上安装微补丁,您首先需要 注册一个 0patch 帐户 ,然后安装 0patch 代理。
0patch 联合创始人 Mitja Kolsek说: “这个漏洞的微补丁一如既往地自动下载并应用于所有受影响的计算机(除非您的政策阻止了这种情况),并且在微软发布官方修复程序之前将是免费的 。”
如果您不能立即部署这些临时补丁之一,您还可以使用阻止远程访问 MS-EFSRPC API 的NETSH RPC 过滤器来防御 PetitPotam 攻击,从而有效地消除未经身份验证的 PetitPotam 攻击向量。
