【二次通告】Windows NTLM Relay漏洞 ADV210003

   NTLM是Windows采用的认证方式之一，相较于Kerberos， NTLM协议更加简单。NTLM采用质询/应答（Challenge/Response）的消息交换模式。

    2021年8月2日，深信服安全团队监测到一则Windows组件存在NTLM Relay漏洞的信息，漏洞编号：ADV210003，漏洞威胁等级：高危。

   攻击者可从域外机器发起攻击，胁迫受害者主机向目标机器进行一次认证，攻击者在自身不需要认证的情况下，结合利用域内的AD CS服务获取证书凭证，甚至可以获取到域管理员的凭证，直接接管Windows域。

   Windows系统作为当下最流行、使用最为广泛的操作系统，在全球各个地区都有相当大的使用量，中美两国是使用Windows系统最多的两个国家。

   目前受影响的Windows版本：

Windows Server 2012/2012 R2/016/2019

Windows Server 2008 R2 Service Pack 1/2

Windows Server 2016 (Server Core installation)

Windows Server, version 20H2(Server Core installation)

Windows Server, version 2004(Server Core installation)

Windows Server 2019 (Server Core installation)

    搭建Windows Server 2019 版本环境，复现该漏洞，效果如下：

    Windows系统作为当下最流行、使用最为广泛的操作系统，在全球各个地区都有相当大的使用量，中美两国是使用Windows系统最多的两个国家。

    目前受影响的Windows版本：

Windows Server 2012/2012 R2/016/2019

Windows Server 2008 R2 Service Pack 1/2

Windows Server 2016 (Server Core installation)

Windows Server, version 20H2(Server Core installation)

Windows Server, version 2004(Server Core installation)

Windows Server 2019 (Server Core installation)

    Win + r 中输入 winver ：

   当前官方已发布受影响版本的对应的缓解措施，建议受影响的用户及时按照官方提供的缓解措施进行配置。链接如下：

https://support.microsoft.com/zh-cn/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

【深信服下一代防火墙】预计发布时间2021年8月5日，可防御此漏洞。建议用户将深信服下一代防火墙开启 IPS 防护策略，并更新最新安全防护规则，即可轻松抵御此高危风险。

【深信服安全感知平台】预计发布时间2021年8月5日，可防御此漏洞。结合云端实时热点高危/紧急漏洞信息，可快速检出业务场景下的该漏洞，并可联动【深信服下一代防火墙等产品】实现对攻击者IP的封堵。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。