专家详细介绍了最近的可远程利用的Windows漏洞

  • A+
所属分类:安全闲碎

专家详细介绍了最近的可远程利用的Windows漏洞

有关Windows NT LAN Manager(NTLM)中的安全功能绕过漏洞的详细信息已经出现,Microsoft已在本月初的每月补丁星期二更新中解决了该漏洞

该漏洞的跟踪记录为CVE-2021-1678(CVSS评分4.3),被描述为在绑定到网络堆栈的易受攻击的组件中发现的“可远程利用”的漏洞,尽管该漏洞的确切细节仍然未知。

现在,根据Crowdstrike的研究人员的说法,如果未修复此安全漏洞,则可能会使不良行为者通过NTLM中继实现远程代码执行。

研究人员在周五的通报中说: “此漏洞使攻击者可以将NTLM身份验证会话中继到受攻击的计算机,并使用打印机后台处理程序MSRPC接口在受攻击的计算机上远程执行代码。”

NTLM中继攻击是一种中间人(MitM)攻击,通常允许具有网络访问权限的攻击者拦截客户端和服务器之间的合法身份验证通信并中继这些经过验证的身份验证请求,以访问网络服务。

专家详细介绍了最近的可远程利用的Windows漏洞

成功的利用还可能使攻击者通过重新使用针对受感染服务器的NTLM凭据,在Windows计算机上远程运行代码或在网络上横向移动到关键系统(例如托管域控制器的服务器),从而在网络上横向移动。

尽管此类攻击可以通过SMB和LDAP签名阻止,然后打开“身份验证增强保护(EPA)”,但CVE-2021-1678利用了MSRPC(Microsoft远程过程调用)中的一个弱点,使其容易受到中继攻击。

研究人员特别发现,IRemoteWinspool(用于远程打印机假脱机程序管理的RPC接口)可用于执行一系列RPC操作,并使用截获的NTLM会话在目标计算机上写入任意文件。

微软在一份支持文件中说,它通过“增加RPC身份验证级别并引入新的策略和注册表项来允许客户在服务器端禁用或启用强制模式以提高身份验证级别”来解决该漏洞。

除了安装1月12日的Windows更新外,该公司还敦促组织在打印服务器上启用“强制实施”模式,该设置称将在2021年6月8日开始默认在所有Windows设备上启用。

专家详细介绍了最近的可远程利用的Windows漏洞

本文始发于微信公众号(Ots安全):专家详细介绍了最近的可远程利用的Windows漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: