您的位置:首页 > 学院 >

微软NTLM协议中存在新漏洞 Web服务器可进行身份验证

2019-06-13 10:00:01 来源: cnBeta

近日,外媒报道了微软NTLM协议中存在的新漏洞,或导致在任何Windows计算机上执行远程代码、或对任何支持Windows集成身份验证(WIA)的Web服务...

近日,外媒报道了微软NTLM协议中存在的新漏洞,或导致在任何Windows计算机上执行远程代码、或对任何支持Windows集成身份验证(WIA)的Web服务器(如Exchange和ADFS)进行身份验证。具体说来是,Perrmpt研究小组发现了由三个逻辑缺陷组成的两个严重漏洞,且所有Windows版本都易受到攻击影响。更糟糕的是,新漏洞可绕过微软此前已部署的缓解措施。

NTLM中继流程示意(来自:HelpNetSecurity,via MSPU)

NTLM中继流程示意(来自:HelpNetSecurity,via MSPU)

据悉,NTLM Relay是Active Directory环境中最常用的攻击技术之一。虽然微软此前已经开发了几种缓解NTLM中继攻击的缓解措施,但Preempt研究人员发现其仍然存在隐患:

- 消息完整性代码(MIC)字段可确保攻击者不会篡改NTLM消息,但研究人员发现的旁路攻击,可以卸下MIC的保护,并修改NTLM身份验证流程中的各个字段,如签名协商。

- SMB会话签名可防止攻击者转发NTLM身份验证消息以建立SMB和DCE / RPC会话,但旁路攻击仍能将NTLM身份验证请求中继到域中的任何服务器(包括域控制器),同时建立签名会话以执行远程代码。如果中继身份验证属于特权用户,则会对全域造成损害。

- 增强型身份验证保护(EPA)可防止攻击者将NTLM消息转发到TLS会话,但攻击者仍可绕过并修改NTLM消息,以生成合法的通道绑定信息。这使得攻击者可利用用户权限连接到各种Web服务,并执行读取用户电子邮件(通过中继到OWA服务器)、甚至连接到云资源(通过中继到ADFS服务器)等各种操作。

Preempt负责地向微软公司披露了上述漏洞,后者在周二的时候发布了CVE-2019-1040和CVE-2019-1019补丁来应对这些问题。

然而Preempt警告称,这么做还不足以充分应对NTLM Relay带来的安全隐患,因为管理员还需要对某些配置加以更改,才能确保有效的防护。

下面是管理员的建议操作:

(1)执行修补程序——确保为工作站和服务器打上了所需的补丁。

(2)强制SMB签名,放置攻击者发起更简单的NTLM中继攻击,请务必在网络中的所有计算机上启用SMB签名。

(3)屏蔽NTLMv1——该版本相当不安全,建议通过适当的组策略来完全封禁。

(4)强制执行LDAP / S签名——要防止LDAP中的NTLM中继,请在域控制器上强制执行LDAP签名和LDAPS通道绑定。

(5)实施EPA——为防止Web服务器上的NTLM中继,请强化所有Web服务器(OWA / ADFS),仅接受使用EPA的请求。

(6)减少NTLM的使用——因为即便采用了完整的安全配置,NTLM也会比Kerberos带来更大的安全隐患,建议在不必要的环境中彻底弃用。

精选 导读

华为nova 5贴膜曝光 业内首商用Mali-G76 GPU支持40W快充

P30和P30 Pro之后,华为下一款重量级新品便是即将登场的nova 5。6月12日消息,博主@数码闲聊站曝光了疑似华为nova 5的贴膜。贴膜暗示该机采

发布时间: 2019-06-13 09:48
科技   2019-06-13

三星Galaxy S10烟波蓝曝光 S10+搭载前置双摄+4100mAh电池

有数码博主曝光了三星Galaxy S10系列国行版新配色——烟波蓝,目前尚无法鉴别该消息真伪。三星S10e搭载5 8英寸屏幕,后置双摄,无屏幕指纹;S10

发布时间: 2019-06-13 09:45
科技   2019-06-13

小米手环4钢铁侠版晒出 屏幕增大39.9%+16000多种颜色表盘

6月11日消息,小米创办人,董事长兼CEO雷军晒出小米手环4钢铁侠定制版,发布会在昨日14点举行。雷军表示,超级英雄即将登场!别忘了,今天下

发布时间: 2019-06-12 17:02
学院   2019-06-12

中国器官捐献日全国超60%登记人来自支付宝 单日人数增长近10倍

6月11日消息,昨天是中国器官捐献日,数据显示,通过支付宝登记器官捐献人数单日同比增长近10倍。另据施予受器官捐献志愿者登记信息,超过6

发布时间: 2019-06-12 16:58
学院   2019-06-12

Honda与阿里和科大讯飞合作 开发第三代Honda CONNECT系统

今天,Honda在2019年亚洲消费电子展(CES Asia 2019)上宣布与阿里巴巴集团和科大讯飞股份有限公司开展合作,共同开发第三代Honda CONNECT(智

发布时间: 2019-06-12 16:27
行业   2019-06-12

联想将发布ThinkPad P1二代 显示器将获得Pantone认证

6月11日消息最初的2018 ThinkPad P1基本上是ThinkPad X1 Extreme采用Xeon CPU和Quadro GPU进行改装而来的,以吸引专业工作站用户。该系列产

发布时间: 2019-06-12 16:24
行业   2019-06-12

Harmony和Chainlink合作 为其智能合约提供安全数据

为了区块链安全,Harmony和领先的预言机(Oracle)服务提供商Chainlink达成合作。Chainlink网络会为其智能合约提供可靠安全的输入和输出数据

发布时间: 2019-06-12 15:29
币库   2019-06-12

高通希望美国反垄断裁决延期 要求LG保持芯片权限

北京时间6月12日上午消息,据路透社报道,高通希望通过上诉将美国针对其制定的反垄断裁决延期执行,但LG电子却在周二对此提出反对。这家韩

发布时间: 2019-06-12 15:10
学院   2019-06-12

古灵币将在7月硬分叉 正保持至少两年ASIC抗性

古灵币[GRIN]项目开发人员终于决定了该项目第一个硬分叉的日期。根据BlockCypher核心开发人员之一的软件工程师Quentin Le Sceller的说法,

发布时间: 2019-06-12 09:43
区块链   2019-06-12

Aion Network建立虚拟机AVM 构建智能约契不必修改JVM

Aion Network是一个致力于创造促进区块链技术工具的非营利组织,它今天宣布了一个建立在Java虚拟机的基础上的新虚拟机。其最终目标是提高区

发布时间: 2019-06-12 09:40
区块链   2019-06-12