幾天前，法國安全研究人員 Gilles Lionel 披露了一種新式 NTLM 中繼攻擊。 若得逞，駭客將接管域控制器或其它 Windows 伺服器。 隨著 PetitPotam 概念驗證代碼的披露，這也成為了困擾企業網路管理員的一個新安全問題。

具體說來是，該漏洞利用了微軟加密檔系統遠端協定（簡稱 EFSRPC），以強制設備（包括域控制器）向惡意的遠端 NTLM 中繼進行身份驗證。

基於此，攻擊者便可竊取哈希證書，並獲得假定設備的實際身份與特權。

慶幸的是，微軟已經知曉了 PetitPotam 攻擊可被用於攻擊Windows域控制器或其它 Windows 服務。

作為一種經典的NTLM中繼攻擊，微軟此前已記錄過類似的事件，並且提供了一些使用者保護客戶免受威脅的緩解選項（參考974926安全通報）。

為防止在啟用了NTLM的網路上發生中繼攻擊，域管理員必須確保其身份驗證服務已啟用相應的保護措施，比如EPA身份驗證擴展保護、或SMB簽名功能。

據悉，PetitPotam 會利用未妥善配置 Active Directory 證書保護服務（AD CS）的伺服器。 有需要的客戶，可參考 KB5005413 中概述的緩解措施。

微軟指出，如果企業已在域中啟用了NTLM身份驗證，並將Active Directory證書服務與以下任何服務一起使用，就極易受到PetiPotam攻擊的影響：

● Certificate Authority Web Enrollment

● Certificate Enrollment Web Service

基於此，最簡單的解決方案，就是在不需要的情況下禁用NTLM，例如域控制器、啟用身份驗證機制的擴展保護、或啟用NTLM身份驗證以使用簽名功能。

最後，與 PrintNightmare 一樣，這很可能是 PetitPotam 系列攻擊的第一章。

Gilles Lionel 在接受 BleepingComputer 採訪時稱，PetitPotam 還允許其它形式的攻擊，例如對使用 DES 數據加密標準的 NTLMv1 進行降級攻擊。

作為一種不安全的演算法，其僅使用了56位密鑰生成，因而很容易被攻擊者恢復哈希后的密碼，並導致本地特權提升攻擊。