一、漏洞直击:30秒看懂致命威胁
漏洞代号:MS-TNAP身份验证倒置杀伤力:💣 0Click攻击(无需用户交互)攻击效果:黑客可完全绕过密码验证,直取系统管理员权限,如同用万能钥匙打开所有保险库!
技术深剖:漏洞根源在于NTLM认证过程的"颠倒乾坤"——服务器竟反向向客户端自证身份!攻击者通过构造特殊数据包(工具telnetbypass.exe已暗流涌动),利用SECPKG_CRED_BOTH
标志与ASC_REQ_DELEGATE
的组合漏洞,让系统上演现实版"指鹿为马"。
二、高危红区:这些系统正在"滴血"
✅ 受影响系统:▸ Windows 2000▸ Windows Server 2003/2008/R2▸ 所有启用Telnet Server的旧版系统
🚨 残酷现实:尽管微软已停止对这些"古董系统"的技术支持,但全球仍有23%的企业因老旧设备依赖被迫使用(数据来源:Cybersecurity Ventures)。工业控制系统、科研设备、银行ATM机成重灾区!
三、生死时速:4步紧急止血方案
1️⃣ 立即断网Win+R
输入services.msc
→停止并禁用"Telnet Server"服务,操作如同按下核弹发射器的紧急制动钮。
2️⃣ 协议革命连夜部署SSH协议替代Telnet,推荐使用免费开源的OpenSSH,为远程管理套上防弹衣。
3️⃣ 网络隔离在企业防火墙设置"白名单封锁线":仅允许特定IP通过5870端口访问,非授权流量一律格杀勿论!
4️⃣ 行为监控启用EDR系统设置"三重复核机制":
-
实时监测异常NTLM认证请求
-
捕获
AcceptSecurityContext()
函数调用 -
拦截含
ASC_REQ_DELEGATE
标志流量
四、Microsoft Telnet 客户端 MS-TNAP 服务端身份验证令牌漏洞利用(PoC)
概述
该 PoC 演示了 Microsoft Telnet 客户端在 MS-TNAP 身份验证协议中的一个安全漏洞。当客户端通过 telnet.exe
或 telnet://
URI 超链接连接到一个恶意的 Telnet 服务器,并检测到 MS-TNAP 扩展时,服务器可以从客户端提取 NTLM 身份验证数据。
如果攻击者主机位于受信任的网络区域(如内网或信任站点),客户端将自动发送凭证而无需提示,使其非常适合红队场景下用于:
-
NTLM 中继攻击
-
离线密码破解(NetNTLMv1/v2 哈希)
漏洞细节
Microsoft Telnet 客户端在连接到不信任区域(如互联网区域)的服务器时,会提示用户确认:
“您即将向 Internet 区域中的远程计算机发送密码信息,这可能不安全。是否仍要发送?(y/n)”
但如果目标服务器位于受信任区域(如 Intranet 或信任站点)中,或者系统策略被配置为静默身份验证,那么将不会显示此提示,凭据会被直接发送给远程服务器。
攻击者可通过伪造的 telnet://
超链接诱骗受害者点击,从而在没有用户察觉的情况下窃取其凭据。
安全区域行为
Windows 通过 URL 安全区域机制判断 Telnet 连接是否应当自动发送凭据:
安全区域 | 行为 |
---|---|
Internet 区域 | 提示用户是否发送凭据 |
Intranet 区域 | 默认静默发送凭据 |
信任的站点 | 默认静默发送凭据 |
⚠️ 安全隐患: 许多企业在添加受信任站点时不加协议前缀(如直接添加
192.168.1.1
而非http://192.168.1.1
),会导致该地址所有协议(HTTP/HTTPS/Telnet 等)都被视为可信,间接暴露在攻击面前。
受影响系统
几乎所有安装了 Microsoft Telnet 客户端的 Windows 系统均受到影响:
-
Windows NT 4.0 ~ Windows 11
-
Windows Server 2003 ~ Server 2025
使用方法
编译
在 Visual Studio 的开发者命令提示符中运行:
cl telnetclientpoc.cpp getopt.cpp stdafx.cpp /EHsc /MT ws2_32.lib secur32.lib
或使用 nmake
:
nmake
nmake static
nmake clean
命令行参数
telnetclientpoc.exe [-d domain] [-s server] [-c challenge] [-o logfile]
-
-d
: 设置域名(默认:WIN2K3) -
-s
: 设置服务器名称(默认:WIN2K3) -
-c
: 设置自定义 NTLM challenge(8 字节十六进制字符串) -
-o
: 指定日志文件路径(默认:telnetclientpoc.log)
实际效果示例
运行 PoC 后:
-
程序监听端口 23(Telnet 默认端口)
-
捕获并记录详细的 NTLM Type1/2/3 握手数据
-
自动提取 NetNTLMv2 和 NTLMv1 哈希值,保存至文件
netntlmv2.hash
和ntlmv1.hash
哈希格式示例(用于 Hashcat)
Administrator::WIN-ROTQIHG6IIG:317c02ac078a3c43:383649f8dae29c4d85b31f31cf785b4f:0101000000...(省略)
安全建议
-
禁止使用 Telnet 客户端(已过时且不安全)
-
在“受信任站点”中指定完整协议前缀,如
http://192.168.1.1
,避免默认信任所有协议 -
使用防火墙或 IDS/IPS 系统监控 telnet:// URI 使用情况
-
加强用户培训,避免点击未知来源的 telnet 链接
五、曙光初现:安全界的黑科技驰援
多家顶级安全厂商已放出"临时疫苗":
-
Palo Alto Networks:更新IDPS特征库(特征码TELNET-0DAY-2024)
-
CrowdStrike:发布专用检测规则(Falcon规则集v9.81)
-
深信服:紧急上线虚拟补丁防护模块
当你在博物馆看到Windows 2000的展柜时,不该在机房发现它的心跳!此次漏洞犹如一记惊雷,警示所有企业:数字时代的生存法则,从来都是"不进化,即灭亡"。立即行动,莫让企业成为黑客的自动提款机!
你的企业还存在"古董系统"吗?欢迎留言说出你的迁移难题,网络安全专家在线支招!
(本文部分技术细节已做简化处理,如需完整技术通报请后台留言"漏洞详情"获取PDF文档)+POC检测github路径
原文始发于微信公众号(红岸基地网络安全):紧急预警!微软Telnet惊现零点击核弹级漏洞,旧系统用户速查!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论