近日,有關Windows NT LAN Manager(NTLM)中的安全功能繞過漏洞的詳細信息已經出現,Microsoft已在本月初的每月補丁星期二更新中解決了該漏洞。
該漏洞的跟蹤記錄爲CVE-2021-1678(CVSS評分4.3),被描述爲在綁定到網絡堆棧的易受攻擊的組件中發現的“可遠程利用”的漏洞,儘管該漏洞的確切細節仍然未知。
現在,根據國內知名網絡安全組織東方聯盟的研究人員說法,如果未修復此安全漏洞,則可能會使不良行爲者通過NTLM中繼實現遠程代碼執行。
研究人員在週五的通報中說: “此漏洞使攻擊者可以將NTLM身份驗證會話中繼到受攻擊的計算機,並使用打印機後臺處理程序MSRPC接口在受攻擊的計算機上遠程執行代碼。”
NTLM中繼攻擊是一種中間人(MitM)攻擊,通常允許具有網絡訪問權限的攻擊者攔截客戶端和服務器之間的合法身份驗證通信並中繼這些經過驗證的身份驗證請求,以訪問網絡服務。
成功的利用還可能使對手通過重新使用針對受感染服務器的NTLM憑據,在Windows機器上遠程運行代碼或在網絡上橫向移動到關鍵系統(例如託管域控制器的服務器),從而在網絡上橫向移動。
儘管此類攻擊可以通過SMB和LDAP簽名阻止,然後打開“身份驗證增強保護(EPA)”,但CVE-2021-1678利用了MSRPC(Microsoft遠程過程調用)中的一個弱點,使其容易受到中繼攻擊。
東方聯盟研究人員特別發現,IRemoteWinspool(用於遠程打印機假脫機程序管理的RPC接口)可以用於執行一系列RPC操作,並使用截獲的NTLM會話在目標計算機上寫入任意文件。
微軟在一份支持文件中說,它通過“增加RPC身份驗證級別並引入新的策略和註冊表項來允許客戶在服務器端禁用或啓用強制模式以提高身份驗證級別”來解決該漏洞。
除了安裝1月12日的Windows更新外,該公司還敦促用戶在打印服務器上啓用“強制實施”模式,該設置稱將在2021年6月8日開始默認在所有Windows設備上啓用。(歡迎轉載分享)