一、事件概述
Kerberos协议最初由麻省理工学院(MIT)在1980年代开发,目的是为了提供一个安全的身份验证机制,特别是在分布式计算环境中。它通过使用密钥分发中心(KDC)和基于凭证的认证机制,确保了用户身份的安全性和网络通信的保密性。从Windows 2000开始,微软在其操作系统中集成了对Kerberos协议的全面支持,使其成为Windows操作系统中实现安全认证和授权的核心机制被广泛使用。近日,微软在其“Patch Tuesday”更新中发布了针对Windows Kerberos认证协议的关键漏洞补丁。该漏洞(CVE-2024-43639)被评为9.8的CVSS严重性评分,表明其对全球数百万服务器构成了极高的安全风险。
二、技术分析
此次发现的是Windows Kerberos认证协议中的一个关键漏洞(CVE-2024-43639),允许未经身份验证的攻击者在受影响的系统上执行远程代码。通过利用这个缺陷,攻击者可以向一个易受攻击的系统发送特别制作的请求,利用Windows Kerberos中的密码协议漏洞获得未经授权的访问权限,并执行任意代码。根据Censys的调查,全球有超过两百万(2,274,340)台暴露的Windows服务器实例,其中1,211,834台可能易受攻击。然而,并非所有这些实例都易受攻击,只有配置为Kerberos KDC代理的服务器才会受到影响。
KDC代理协议服务器是一种允许客户端通过HTTPS安全地与KDC服务器进行通信的机制。这种服务器使用Kerberos协议来处理身份验证和授权,其中UDP/TCP 88端口用于Kerberos认证服务和票据授予服务的交换,而TCP 464端口则用于处理Kerberos密码更改。这些协议通常被设计为在可以直接和可靠访问KDC服务器的网络环境中工作,比如在同一局域网内或者通过VPN连接的远程位置。KDC代理协议服务器的应用场景包括远程桌面网关和DirectAccess等服务,它们使得用户即使在外部网络也能通过HTTPS安全地进行Kerberos认证,从而安全地访问内部网络资源。简而言之,KDC代理协议服务器通过HTTPS为Kerberos协议提供了一个安全的通信桥梁,使得用户可以在不同的网络环境下安全地进行身份验证和访问控制。
三、漏洞详情
|
CVE ID
|
CVE-2024-43639
|
公布时间
|
2024-11-13
|
|
类型
|
远程代码执行
|
CVSS
|
9.8
|
|
攻击向量
|
网络
|
所需权限
|
无
|
|
攻击复杂度
|
低
|
用户交互
|
不需要
|
|
PoC/EXP
|
未公开
|
在野利用
|
未发现
|
参考链接:
https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-43639
原文始发于微信公众号(白泽安全实验室):关键的 Windows漏洞使数百万台服务器面临攻击
评论