远程主机受到 NTLM 反射式权限提升漏洞（称为“PetitPotam”）的影响。未经身份验证的远程攻击者可以利用此问题，通过发送特制的 EFSRPC 请求，使受影响的主机连接到恶意服务器。攻击者随后可利用 NTLM 中继模拟目标主机并针对远程服务进行认证。

在 KB5005413 中描述的一种攻击场景中，攻击者可利用此漏洞，以域控制器的计算机帐户身份启动 NTLM 会话。然后，将此会话中继到 Active Directory 证书服务 (AD CS) 主机以获取证书。然后可以使用此证书在域环境中横向移动。

检测

Microsoft Windows EFSRPC NTLM 的反射式权限提升漏洞 (PetitPotam)（远程）

high Nessus 插件 ID 152102

版本 1.116