Microsoft在今年1月周二补丁日中修复了Windows NT LAN Manager(NTLM)中的一个安全特性绕过漏洞,有关该漏洞的更多详情已经出现。
该漏洞编号为CVE-2021-1678(CVSS评分4.3),虽然有关该漏洞的确切详情仍不可知,但该漏洞可被远程利用,存在于与网络协议栈相关的脆弱组件中。
Crowdstrike公司的研究人员表示,如果不修复,攻击者可借助NTLM中继利用该漏洞实现远程执行代码。
研究人员在上周五发布的安全公告中称,“该漏洞允许攻击者将NTLM身份验证会话中继到受攻击的计算机,并使用打印机后台处理程序MSRPC接口在受攻击的计算机上远程执行代码。”
NTLM中继攻击是一种中间人攻击,通常允许具有网络访问权限的攻击者劫持客户端和服务器之间的合法身份验证流量,并中继这些已验证的身份验证请求,以访问网络服务。
成功利用该漏洞,攻击者还可以远程在Windows计算机上运行代码,或通过再次利用指向受损服务器的NTLM凭据,在该网络上横向移动至关键系统,例如托管域控制器的服务器。
虽然可以通过SMB和LDAP签名以及启用增强的身份验证保护(EPA)来阻止此类攻击,但CVE-2021-1678利用了MSRPC(Microsoft远程过程调用)中的一个缺陷,导致其易受中继攻击。
具体来说,研究人员发现IRemoteWinspool(远程打印机后台处理程序管理的RPC接口)可被用来执行一系列RPC操作,并使用劫持的NTLM会话在目标计算机上写入任意文件。
Microsoft在一份支持文档中表示,它通过“提高RPC身份验证级别,并引入新的策略和注册表项,允许客户在服务器端禁用或启用强制模式以提高身份验证级别”来修复该漏洞。
除了安装1月12日的Windows更新外,Microsoft还敦促用户在打印服务器上启用强制模式,并表示从2021年6月8日起,所有Windows设备都将默认启用该设置。
作者:Ravie Lakshmanan
来源:The Hacker News
来源:freebuf.com 2021-01-25 16:17:17 by: 偶然路过的围观群众
请登录后发表评论
注册