PetitPotam 漏洞(CVE-2021-36942)分析
漏洞分析
攻击者可以通过构造恶意的文件路径,使得目标服务器尝试与攻击者控制的服务器建立连接。在这种情况下,攻击者可以捕获目标服务器的 NTLM 凭据,甚至可能实施更进一步的攻击,例如传递哈希攻击(Pass-the-Hash)或利用其他漏洞进行横向移动。
漏洞描述
PetitPotam 漏洞(CVE-2021-36942)是一个 Windows 远程协议(MS-EFSRPC)中的安全漏洞,它影响了微软的加密文件系统(EFS)。这个漏洞允许攻击者将目标服务器引导至攻击者控制的服务器,从而可能导致目标服务器的凭据泄露。这个漏洞主要影响了 Windows Server 系列操作系统。
PetitPotam 漏洞的主要原因是在 MS-EFSRPC 服务中,攻击者可以利用某些 EFS 函数,例如 EfsRpcOpenFileRaw。这个函数原本用于打开一个加密的文件以进行读写操作。但是,攻击者可以通过构造恶意的文件路径,使得目标服务器尝试与攻击者控制的服务器建立连接。在这种情况下,攻击者可以捕获目标服务器的 NTLM 凭据,甚至可能实施更进一步的攻击,例如传递哈希攻击(Pass-the-Hash)或利用其他漏洞进行横向移动。
PetitPotam 漏洞利用过程
PetitPotam漏洞是一个Windows认证协议的安全漏洞,攻击者可以利用该漏洞通过远程程序调用(RPC)来获取域控制器(DC)NTLMv2身份验证的凭据,从而能够进一步获取域管理员权限。下面是利用PetitPotam漏洞的一般过程:
攻击者需要访问域控制器上的有效账户,例如域用户帐户。
</