概述
微软官方在6月补丁日中,发布了一枚重磅漏洞CVE-2019-1040的安全补丁。该漏洞存在于Windows大部分版本中,攻击者可以利用该漏洞可绕过NTLM MIC的防护机制,结合其他漏洞和机制,某些场景下可以导致域内的普通用户直接获取对于域控服务器的控制。
近日,对于此漏洞的利用细节被安全研究人员公布出来,利用此漏洞获取内网的控制变得非常可行,堪称内网大杀器,形成现实的巨大威胁。
当中间人攻击者能够成功绕过NTLM MIC(消息完整性检查)保护时,Windows存在篡改漏洞。成功利用此漏洞的攻击者可以获得降级NTLM安全功能的能力。要利用此漏洞,攻击者需要篡改NTLM交换,然后攻击者可以修改NTLM数据包的标志,而不会使签名无效。
该漏洞的CVSS 3.0的评分虽然只有5.9,但与其他安全问题结合起来利用,将导致巨大的安全威胁。
最严重的攻击场景下,攻击者仅需要拥有一个普通域账号,即可远程控制 Windows 域内的所有机器,包括域控服务器。
影响系统
Windows 7 sp1 至Windows 10 1903
Windows Server 2008 至Windows Server 2019
处置建议
鉴于目前安全研究人员已经披露了漏洞详情和利用方式,并在博客中公开了含POC代码的Github地址,此漏洞实乃内网大杀器,强烈建议受版本影响的用户紧急进行修复以消除威胁。
修复方案
微软官方已推出更新补丁,请在所有受影响的 Windows 客户端、服务器下载安装更新并重启计算机。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040
注意:此漏洞存在多种不同的利用方案,强烈建议通过安装官方补丁的方式对此漏洞进行完全修复。如无法实现在所有服务器上安装该补丁,请优先保证在重要的服务器(如所有的域控制器、所有的 Exchange服务器)上安装该补丁。
其他加固措施
对于无法安装补丁的服务器,可通过以下加固措施对此漏洞的某些利用方式进行适当缓解。注意,这些加固措施并没有修复漏洞,只是针对该漏洞可能存在的一些利用方式进行缓解。这些缓解措施有可能被高级别的攻击者绕过。
开启所有重要服务器的强制 SMB 签名功能
(在 Windows 域环境下,默认只有域控服务器开启了强制 SMB 签名)
启用所有域控服务器的强制 LDAPS Channel Binding 功能
(此功能默认不启用。启用后有可能造成兼容性问题。)
启用所有域控服务器的强制 LDAP Signing 功能
(此功能默认不启用。启用后有可能造成兼容性问题。)
开启所有重要服务器(比如所有 Exchange 服务器)上相关应用的Channel Binding 功能(如 IIS 的Channel Binding 功能)
详情请看:https://mp.weixin.qq.com/s/nV8bY6JBbzTNjnd9XEcxYA
网络管理中心
2019年6月16日
