概述
微軟官方在6月補(bǔ)丁日中,發(fā)布了一枚重磅漏洞CVE-2019-1040的安全補(bǔ)丁����。該漏洞存在于Windows大部分版本中,攻擊者可以利用該漏洞可繞過(guò)NTLM MIC的防護(hù)機(jī)制����,結(jié)合其他漏洞和機(jī)制����,某些場(chǎng)景下可以導(dǎo)致域內(nèi)的普通用戶(hù)直接獲取對(duì)于域控服務(wù)器的控制����。
近日,對(duì)于此漏洞的利用細(xì)節(jié)被安全研究人員公布出來(lái)����,利用此漏洞獲取內(nèi)網(wǎng)的控制變得非常可行����,堪稱(chēng)內(nèi)網(wǎng)大殺器,形成現(xiàn)實(shí)的巨大威脅����。
當(dāng)中間人攻擊者能夠成功繞過(guò)NTLM MIC(消息完整性檢查)保護(hù)時(shí),Windows存在篡改漏洞����。成功利用此漏洞的攻擊者可以獲得降級(jí)NTLM安全功能的能力。要利用此漏洞����,攻擊者需要篡改NTLM交換����,然后攻擊者可以修改NTLM數(shù)據(jù)包的標(biāo)志����,而不會(huì)使簽名無(wú)效。
該漏洞的CVSS 3.0的評(píng)分雖然只有5.9����,但與其他安全問(wèn)題結(jié)合起來(lái)利用����,將導(dǎo)致巨大的安全威脅。
最嚴(yán)重的攻擊場(chǎng)景下����,攻擊者僅需要擁有一個(gè)普通域賬號(hào),即可遠(yuǎn)程控制 Windows 域內(nèi)的所有機(jī)器����,包括域控服務(wù)器。
影響系統(tǒng)
Windows 7 sp1 至Windows 10 1903
Windows Server 2008 至Windows Server 2019
處置建議
鑒于目前安全研究人員已經(jīng)披露了漏洞詳情和利用方式����,并在博客中公開(kāi)了含POC代碼的Github地址����,此漏洞實(shí)乃內(nèi)網(wǎng)大殺器����,強(qiáng)烈建議受版本影響的用戶(hù)緊急進(jìn)行修復(fù)以消除威脅。
修復(fù)方案
微軟官方已推出更新補(bǔ)丁����,請(qǐng)?jiān)谒惺苡绊懙?Windows 客戶(hù)端、服務(wù)器下載安裝更新并重啟計(jì)算機(jī)����。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040
注意:此漏洞存在多種不同的利用方案,強(qiáng)烈建議通過(guò)安裝官方補(bǔ)丁的方式對(duì)此漏洞進(jìn)行完全修復(fù)����。如無(wú)法實(shí)現(xiàn)在所有服務(wù)器上安裝該補(bǔ)丁,請(qǐng)優(yōu)先保證在重要的服務(wù)器(如所有的域控制器����、所有的 Exchange服務(wù)器)上安裝該補(bǔ)丁。
其他加固措施
對(duì)于無(wú)法安裝補(bǔ)丁的服務(wù)器����,可通過(guò)以下加固措施對(duì)此漏洞的某些利用方式進(jìn)行適當(dāng)緩解����。注意����,這些加固措施并沒(méi)有修復(fù)漏洞,只是針對(duì)該漏洞可能存在的一些利用方式進(jìn)行緩解����。這些緩解措施有可能被高級(jí)別的攻擊者繞過(guò)。
開(kāi)啟所有重要服務(wù)器的強(qiáng)制 SMB 簽名功能
(在 Windows 域環(huán)境下����,默認(rèn)只有域控服務(wù)器開(kāi)啟了強(qiáng)制 SMB 簽名)
啟用所有域控服務(wù)器的強(qiáng)制 LDAPS Channel Binding 功能
(此功能默認(rèn)不啟用����。啟用后有可能造成兼容性問(wèn)題。)
啟用所有域控服務(wù)器的強(qiáng)制 LDAP Signing 功能
(此功能默認(rèn)不啟用����。啟用后有可能造成兼容性問(wèn)題。)
開(kāi)啟所有重要服務(wù)器(比如所有 Exchange 服務(wù)器)上相關(guān)應(yīng)用的Channel Binding 功能(如 IIS 的Channel Binding 功能)
詳情請(qǐng)看:https://mp.weixin.qq.com/s/nV8bY6JBbzTNjnd9XEcxYA
網(wǎng)絡(luò)管理中心
2019年6月16日
