Windows NTLM安全协议上线：现在修补

作为本月周二发布的补丁的一部分，微软发布了针对一个严重权限提升漏洞的安全补丁，该漏洞影响了自2007年以来发布的所有企业Windows操作系统版本。

NT LAN Manager（NTLM）是一种旧的身份验证协议，用于运行Windows操作系统和独立系统的网络。

尽管在Windows 2000中，NTLM被Kerberos取代，从而为网络上的系统增加了更高的安全性，但NTLM仍然受到Microsoft的支持，并继续被广泛使用。

第一个漏洞涉及来自NTLM中继的未受保护的轻型目录访问协议（LDAP），以及第二个影响远程桌面协议（RDP）限制的管理模式。

LDAP无法充分抵御NTLM中继攻击，即使它具有内置的LDAP签名防御措施，该措施只保护中间人（MitM）攻击，而完全不保护凭据转发。

该漏洞可能允许在目标系统上具有系统权限的攻击者使用传入的NTLM会话，并代表NTLM用户执行LDAP操作，如更新域对象。

Preempt公司的Yaron Zinar在一篇博客文章中详细介绍了该漏洞，他说：“要意识到这个问题有多严重，我们需要意识到所有Windows协议都使用Windows身份验证API（SSPI），它允许将身份验证会话降级为NTLM。”

“因此，与域管理员连接到受感染计算机（SMB、WMI、SQL、HTTP）的每个连接都会导致攻击者创建域管理员帐户，并获得对受攻击网络的完全控制。”

接力攻击视频演示

Preempt研究人员还提供了一段视频来演示凭证中继攻击。

第二个NTLM漏洞影响远程桌面协议受限管理模式–；此RDP受限管理模式允许用户连接到远程计算机，而无需提供密码。

据Preempt研究人员称，RDP受限管理允许认证系统降级到NTLM。这意味着使用NTLM执行的攻击，例如凭证中继和密码破解，也可能针对RDP受限管理员执行。

当与LDAP中继漏洞相结合时，每当管理员与RDP Restricted admin连接并获得对整个域的控制时，攻击者就可以创建一个假域管理员帐户。

研究人员在4月份发现并私下向微软报告了NTLM中的LDAP和RDP中继漏洞。

然而，微软在5月份承认了NTLM LDAP漏洞，并将其指定为CVE-2017-8563，但否认了RDP漏洞，声称这是一个“已知问题”，并建议将网络配置为不受任何NTLM中继的影响。

“在远程攻击场景中，攻击者可以通过运行精心编制的应用程序向域控制器发送恶意流量来利用此漏洞。成功利用此漏洞的攻击者可以在提升的上下文中运行进程，”Microsoft在其建议中解释道。

“此次更新通过对身份验证协议的增强来解决此漏洞，这些增强旨在减轻身份验证攻击。它围绕着通道绑定信息的概念展开。”

因此，建议系统管理员尽快在启用NT LAN Manager的情况下修补易受攻击的服务器。

您可以考虑关闭NT LAN管理器，或者要求传入的LDAP和SMB数据包进行数字签名，以防止证书中继攻击。

除了这个NTLM中继漏洞，微软还发布了55个安全漏洞的补丁，其中包括19个关键漏洞，这些漏洞存在于其多个产品中，包括Edge、Internet Explorer、Windows、Office和Office服务以及Web应用程序。NET框架和Exchange Server。

强烈建议Windows用户尽快安装最新更新，以保护自己免受野外活动的攻击。