近日,有關Windows NT LAN Manager(NTLM)中的安全功能繞過漏洞的詳細資訊已經出現,Microsoft已在本月初的每月更新檔星期二更新中解決了該漏洞。
該漏洞的跟蹤記錄為CVE-2021-1678(CVSS評分4.3),被描述為在綁定到網絡堆棧的易受攻擊的元件中發現的“可遠端利用”的漏洞,盡管該漏洞的确切細節仍然未知。
現在,根據國内知名網絡安全組織東方聯盟的研究人員說法,如果未修複此安全漏洞,則可能會使不良行為者通過NTLM中繼實作遠端代碼執行。
研究人員在周五的通報中說: “此漏洞使攻擊者可以将NTLM身份驗證會話中繼到受攻擊的計算機,并使用列印機背景處理程式MSRPC接口在受攻擊的計算機上遠端執行代碼。”
NTLM中繼攻擊是一種中間人(MitM)攻擊,通常允許具有網絡通路權限的攻擊者攔截用戶端和伺服器之間的合法身份驗證通信并中繼這些經過驗證的身份驗證請求,以通路網絡服務。
成功的利用還可能使對手通過重新使用針對受感染伺服器的NTLM憑據,在Windows機器上遠端運作代碼或在網絡上橫向移動到關鍵系統(例如托管域控制器的伺服器),進而在網絡上橫向移動。
盡管此類攻擊可以通過SMB和LDAP簽名阻止,然後打開“身份驗證增強保護(EPA)”,但CVE-2021-1678利用了MSRPC(Microsoft遠端過程調用)中的一個弱點,使其容易受到中繼攻擊。
東方聯盟研究人員特别發現,IRemoteWinspool(用于遠端列印機假脫機程式管理的RPC接口)可以用于執行一系列RPC操作,并使用截獲的NTLM會話在目标計算機上寫入任意檔案。
微軟在一份支援檔案中說,它通過“增加RPC身份驗證級别并引入新的政策和系統資料庫項來允許客戶在伺服器端禁用或啟用強制模式以提高身份驗證級别”來解決該漏洞。
除了安裝1月12日的Windows更新外,該公司還敦促使用者在列印伺服器上啟用“強制實施”模式,該設定稱将在2021年6月8日開始預設在所有Windows裝置上啟用。(歡迎轉載分享)
![阿裡雲伺服器部署tomcat,釋出工程[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)