這些漏洞讓攻擊者可破解口令獲取Windows憑證
行為防火牆專家Preempt公司的安全研究人員,在微軟Windows NTLM(NT局域網管理器)安全協議中發現兩個關鍵安全漏洞,一旦被利用,可使攻擊者破解口令,獲得目標網絡憑證。
第一個漏洞(CVE-2017-8563)存在於NTLM中繼的LDAP(輕量級目錄訪問協議)中,第二個漏洞則針對廣泛使用的遠程桌面協議(RDP)受限管理模式。
Preempt共同創始人兼CEO阿基特·桑切蒂稱:“威脅態勢持續發展,凸顯出現有安全協議中存在的漏洞,這2個漏洞也沒什麼不同。NTLM讓公司企業和個人處於憑證轉發和口令破解的風險之下,最終,闡明瞭為什麼公司企業必須保持警惕,並確保其部署始終是安全的——尤其是在使用NTLM這種遺留協議的時候。”
Windows系統中,LDAP保護用戶不受憑證轉發和中間人攻擊的侵害,但由於該漏洞的存在,LDAP不再能防護住憑證轉發。因此,攻擊者可藉此創建域管理員賬戶,取得對被攻擊網絡的完全控制權。
至於RDP,只要是Windows用戶,基本都知道其用途:不用交出自己的口令就能連接可能被黑的遠程主機。於是,利用NTLM所做的每一個攻擊,比如憑證中繼和口令破解,都可以對RDP受限管理模式進行。
Preempt通告了微軟這2個漏洞的情況,針對第一個漏洞的補丁已放出,而第二個漏洞則是微軟已確知的問題。
建議訪問Preempt官方博客(https://blog.preempt.com/new-ldap-rdp-relay-vulnerabilities-in-ntlm)以獲取更多技術細節。
由於系統中不時發現關鍵安全漏洞,Windows操作系統要為80%的惡意軟件感染負責是一個確定的事實。今年5月襲擊了全球100多個國家的WannaCry勒索軟件,也是Windows系統中SMB(服務器消息塊)協議漏洞所致。
相關推薦
