Windows NTLM安全協議上線：現在修補

作為本月周二發布的補丁的一部分，微軟發布了針對一個嚴重權限提升漏洞的安全補丁，該漏洞影響了自2007年以來發布的所有企業Windows操作系統版本。

NT LAN Manager（NTLM）是一種舊的身份驗證協議，用于運行Windows操作系統和獨立系統的網絡。

盡管在Windows 2000中，NTLM被Kerberos取代，從而為網絡上的系統增加了更高的安全性，但NTLM仍然受到Microsoft的支持，并繼續被廣泛使用。

第一個漏洞涉及來自NTLM中繼的未受保護的輕型目錄訪問協議（LDAP），以及第二個影響遠程桌面協議（RDP）限制的管理模式。

LDAP無法充分抵御NTLM中繼攻擊，即使它具有內置的LDAP簽名防御措施，該措施只保護中間人（MitM）攻擊，而完全不保護憑據轉發。

該漏洞可能允許在目標系統上具有系統權限的攻擊者使用傳入的NTLM會話，并代表NTLM用戶執行LDAP操作，如更新域對象。

Preempt公司的Yaron Zinar在一篇博客文章中詳細介紹了該漏洞，他說：“要意識到這個問題有多嚴重，我們需要意識到所有Windows協議都使用Windows身份驗證API（SSPI），它允許將身份驗證會話降級為NTLM。”

“因此，與域管理員連接到受感染計算機（SMB、WMI、SQL、HTTP）的每個連接都會導致攻擊者創建域管理員帳戶，并獲得對受攻擊網絡的完全控制。”

接力攻擊視頻演示

Preempt研究人員還提供了一段視頻來演示憑證中繼攻擊。

第二個NTLM漏洞影響遠程桌面協議受限管理模式–；此RDP受限管理模式允許用戶連接到遠程計算機，而無需提供密碼。

據Preempt研究人員稱，RDP受限管理允許認證系統降級到NTLM。這意味著使用NTLM執行的攻擊，例如憑證中繼和密碼破解，也可能針對RDP受限管理員執行。

當與LDAP中繼漏洞相結合時，每當管理員與RDP Restricted admin連接并獲得對整個域的控制時，攻擊者就可以創建一個假域管理員帳戶。

研究人員在4月份發現并私下向微軟報告了NTLM中的LDAP和RDP中繼漏洞。

然而，微軟在5月份承認了NTLM LDAP漏洞，并將其指定為CVE-2017-8563，但否認了RDP漏洞，聲稱這是一個“已知問題”，并建議將網絡配置為不受任何NTLM中繼的影響。

“在遠程攻擊場景中，攻擊者可以通過運行精心編制的應用程序向域控制器發送惡意流量來利用此漏洞。成功利用此漏洞的攻擊者可以在提升的上下文中運行進程，”Microsoft在其建議中解釋道。

“此次更新通過對身份驗證協議的增強來解決此漏洞，這些增強旨在減輕身份驗證攻擊。它圍繞著通道綁定信息的概念展開。”

因此，建議系統管理員盡快在啟用NT LAN Manager的情況下修補易受攻擊的服務器。

您可以考慮關閉NT LAN管理器，或者要求傳入的LDAP和SMB數據包進行數字簽名，以防止證書中繼攻擊。

除了這個NTLM中繼漏洞，微軟還發布了55個安全漏洞的補丁，其中包括19個關鍵漏洞，這些漏洞存在于其多個產品中，包括Edge、Internet Explorer、Windows、Office和Office服務以及Web應用程序。NET框架和Exchange Server。

強烈建議Windows用戶盡快安裝最新更新，以保護自己免受野外活動的攻擊。