近日,安恒信息AiLPHA安全团队监测到微软发布了Windows NTLM 中继攻击漏洞(ADV210003)缓解通告。攻击者可从域外机器发起攻击,强制受害者主机向目标机器进行一次认证,攻击者在自身不需要认证的情况下,利用域内的Active Directory 证书服务(AD CS)获取证书凭证,甚至可以获取到域管理员的凭证,直接接管Windows域。

目前该漏洞的细节及POC已公开,安恒信息AiLPHA安全团队建议客户尽快实施微软官方推送的缓解措施,降低该漏洞危害。

漏洞基本信息

NTLM是Winodws 采用的认证方式之一,相较于Kerberos,NTLM协议更加简单。通过强制域控制器向指定机器进行NTLM身份认证,攻击者可利用此漏洞发起NTLM中继攻击,甚至接管Windows域。目前安恒信息AiLPHA安全团队已成功复现该漏洞。漏洞复现如下:

危害等级:高危

影响版本:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2(Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2(Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server, version 20H2 (Server Core Installation)

Windows Server, version 2004 (Server Core installation)

Windows Server 2019 (Server Core installation)

Windows Server 2019

安恒信息AiLPHA产品检测方案

1、AiLPHA大数据平台检测方案

AiLPHA大数据平台的流量探针(AiNTA)在第一时间加入了对该漏洞的检测规则,请将规则包升级到1.1.277(AiNTA-v1.1.6_release_ruletag_1.1.277)及以上版本。

规则名称:Windows NTLM中继攻击漏洞(ADV210003),规则编号:93007796

AiNTA流探针规则升级方法:系统管理->手动升级,选择“上传升级包”。升级成功后,规则版本会变为最新的版本号。

请从AiLPHA安全中心下载规则包,如没有账号,请从页面注册账号。

AiLPHA安全中心地址:https://ailpha.dbappsecurity.com.cn/index.html#/login

2、APT攻击预警平台

APT攻击预警平台已经在第一时间加入了对该漏洞的检测,请将规则包升级到

GoldenEyeIPv6_XXXXX_strategy2.0.25306.210806.1及以上版本。

规则名称:Windows NTLM中继攻击漏洞(ADV210003),规则编号:93007796

APT攻击预警平台规则升级方法:系统->升级管理,选择“手动升级”或“在线升级”。

APT攻击预警平台的规则升级包请至安恒社区下载:https://bbs.dbappsecurity.com.cn/。

漏洞处置建议

za缓解措施:实施微软官方建议的漏洞危害缓解措施。