近日,有关Windows NT LAN Manager(NTLM)中的安全功能绕过漏洞的详细信息已经出现,Microsoft已在本月初的每月补丁星期二更新中解决了该漏洞。
该漏洞的跟踪记录为CVE-2021-1678(CVSS评分4.3),被描述为在绑定到网络堆栈的易受攻击的组件中发现的“可远程利用”的漏洞,尽管该漏洞的确切细节仍然未知。
现在,根据国内知名网络安全组织东方联盟的研究人员说法,如果未修复此安全漏洞,则可能会使不良行为者通过NTLM中继实现远程代码执行。
研究人员在周五的通报中说: “此漏洞使攻击者可以将NTLM身份验证会话中继到受攻击的计算机,并使用打印机后台处理程序MSRPC接口在受攻击的计算机上远程执行代码。”
NTLM中继攻击是一种中间人(MitM)攻击,通常允许具有网络访问权限的攻击者拦截客户端和服务器之间的合法身份验证通信并中继这些经过验证的身份验证请求,以访问网络服务。
成功的利用还可能使对手通过重新使用针对受感染服务器的NTLM凭据,在Windows机器上远程运行代码或在网络上横向移动到关键系统(例如托管域控制器的服务器),从而在网络上横向移动。
尽管此类攻击可以通过SMB和LDAP签名阻止,然后打开“身份验证增强保护(EPA)”,但CVE-2021-1678利用了MSRPC(Microsoft远程过程调用)中的一个弱点,使其容易受到中继攻击。
东方联盟研究人员特别发现,IRemoteWinspool(用于远程打印机假脱机程序管理的RPC接口)可以用于执行一系列RPC操作,并使用截获的NTLM会话在目标计算机上写入任意文件。
微软在一份支持文件中说,它通过“增加RPC身份验证级别并引入新的策略和注册表项来允许客户在服务器端禁用或启用强制模式以提高身份验证级别”来解决该漏洞。
除了安装1月12日的Windows更新外,该公司还敦促用户在打印服务器上启用“强制实施”模式,该设置称将在2021年6月8日开始默认在所有Windows设备上启用。(欢迎转载分享)