研究人员公布微软NTLM身份验证协议漏洞 可导致远程计算机任意代码执行
研究人员早前发现微软的身份验证协议NTLM存在严重安全漏洞,这枚漏洞随后被通报给微软等待进行修复。
微软在本月份发布的例行更新已经对该漏洞进行修复,因此现在研究人员也开始公布这枚安全漏洞的细节等。
NTLM是微软广泛使用的身份验证协议,不过研究人员发现该协议中存在逻辑缺陷导致出现两个关键级漏洞。
攻击者利用漏洞可执行任意代码并且还可以绕过微软此前的缓解措施,理论上所有版本 Windows 均受影响。
此前微软已经为身份验证协议推出各种缓解措施,这些缓解措施可以降低安全漏洞被利用的概率提高安全性。
身份验证协议中的消息完整性代码可确保攻击者不会篡改消息,但研究人员发现的旁路攻击可以删除该消息。
当成功删除消息完整性代码后可以用来篡改身份验证协议中的各个字段,例如签名协商流程都可以被篡改掉。
目前微软已经发布更新对上述漏洞进行修复,对应的安全公告可以直接搜索CVE-2019-1040/2019-1019等。
研究人员发布的最新消息称,尽管微软已经发布安全更新对上述身份验证协议漏洞进行修复但这依然还不够。
管理员还需要进行配置以确保NTLM能够更好的保护,当然首先用户必须先安装微软的累积更新将漏洞封堵。
此外管理员必须强制执行SMB签名,为防止攻击者发起中继攻击 , 启用SMB签名可以有效的保护所有计算机。
强制执行LDAP/S 签名,防止LDAP中的NTLM中继,在域控制器中强制执行LDAP签名和LDAPS通道绑定等。