Windows NTLM认证(CVE-2019-1040)漏洞预警

2019-06-12 12:09:48
NTLM 协议中存在漏洞,可能导致在任何 Windows 计算机上执行远程代码。


漏洞曝光时间:2019-06-11

漏洞风险程度:高危

漏洞曝光程度:部分细节已公开

受影响操作系统版本

Windows 10 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1703 for 32-bit Systems

Windows 10 Version 1703 for x64-based Systems

Windows 10 Version 1709 for 32-bit Systems

Windows 10 Version 1709 for 64-based Systems

Windows 10 Version 1709 for ARM64-based Systems

Windows 10 Version 1803 for 32-bit Systems

Windows 10 Version 1803 for ARM64-based Systems

Windows 10 Version 1803 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows 8.1 for 32-bit systems

Windows 8.1 for x64-based systems

Windows RT 8.1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1803 (Server Core Installation)

Windows Server, version 1903 (Server Core installation)

漏洞编号:

CVE ID: CVE-2019-1040

漏洞描述:

Perrmpt研究小组向微软披露,其发现了 NTLM 协议中存在漏洞,可能导致在任何 Windows 计算机上执行远程代码。该漏洞是因微软对防御NTLM RelayNTLM中继攻击)的措施存在隐患,可以通过旁路攻击绕过MICMessage Integrity Code),并修改NTLM身份验证流程中的各个字段。同时,支持 Windows 集成身份验证(WIA)的 Web 服务器(如 Exchange ADFS)也可能被攻击者利用NTLM Relay攻击方式连接到Web服务,进一步访问电子邮件或者其它云资源。


NTLM 中继流程示意(来自:HelpNetSecurityvia MSPU

修复和缓解方案:

微软已在6月补丁更新日发布补丁,建议尽快更新。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040

同时,披露该漏洞的Perrmpt研究小组建议管理员针对重点服务器(如域控服务器)进一步采取如下措施加固。

1)开启强制 SMB 签名功能,防止攻击者发起更简单的 NTLM 中继攻击,请务必在网络中的所有计算机上启用 SMB 签名。

2)屏蔽 NTLMv1 - 该版本相当不安全,建议通过适当的组策略来完全封禁。

3)强制执行 LDAP / S 签名 - 要防止 LDAP 中的 NTLM 中继,请在重点服务器强制执行 LDAP 签名和 LDAPS 通道绑定。

4)实施 EPA - 为防止 Web 服务器上的 NTLM 中继,请强化所有 Web 服务器(OWA / ADFS),仅接受使用 EPA 的请求。

5)减少 NTLM 的使用 - 因为即便采用了完整的安全配置,NTLM 也会比 Kerberos 带来更大的安全隐患,建议在不必要的环境中彻底弃用。

参考链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040

https://www.cnbeta.com/articles/tech/856321.htm

https://blog.preempt.com/drop-the-mic


最新资讯