HackerNews.cc 12 日消息,安全公司 Preempt 专家发现 Windows NTLM 安全协议存在两处关键漏洞,允许攻击者创建新域名管理员帐户、接管目标域名。微软已于本周二补丁日( 7 月 11 日)发布安全补丁应对漏洞威胁。
NT LAN Manager(NTLM)是 Windows NT 早期版本的标准安全协议。尽管它在 Windows 2000 中已被 Kerberos 取代,但 NTLM 仍受 Microsoft 支持并被多数组织使用。
调查显示,第一处关键漏洞涉及 NTLM 中继器内未受保护的 Lightweight Directory Access Protocol(LDAP)协议,允许攻击者利用系统权限连接 NT LAN 管理器会话、执行 LDAP 操作,包括以管理员身份更新域名对象。即使 LDAP 签名可以保护凭证转发至服务器,但该协议也无法完全防止 NTLM 免遭中继攻击。
第二处 NTLM 漏洞影响 RDP Restricted-Admin 模式,允许攻击者在不提供密码的情况下远程访问目标计算机系统。RDP Restricted-Admin 允许身份验证系统降级至 NTLM,这意味着攻击者可对 RDP Restricted-Admin 执行 NTLM 中继攻击并破解目标系统登录凭证。研究人员称,当管理员连接 RDP Restricted-Admin 时,攻击者可根据该漏洞创建虚假域管理员帐户并控制整个目标域名。
目前,微软并未承认存在 RDP 漏洞,因为他们将其列为可通过网络正确配置解决的“已知问题”。Microsoft 除建议运行 NT LAN Manager 服务器的公司尽快修补漏洞外,还提醒各企业系统管理员关闭 NT LAN Manager 、监测流量异常迹象。此外,专家还要求系统管理员在连接 LDAP 与 SMB 数据包时需要通过数字签名进行检测,以防设备凭证遭受中继攻击。
原作者:Pierluigi Paganini,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册