关于锐讯

成立于2004年,十多年经验积累,专注为客户提供优质的网络环境、接入带宽及高稳定性的网络服务

Windows 认证漏洞 CVE-2019-1040 内网大杀器
时间:2019.07.01   作者:admin   阅读:137

Microsoft发布了六月份安全补丁更新。在该安全更新补丁中,对CVE-2019-1040漏洞进行了修复 。攻击者利用该漏洞可以绕过NTLM中的MIC(Message Integrity Code)。攻击者可以修改已经协商签名的身份验证流量,然后中继到另外一台服务器,同时完全删除签名要求。通过该攻击方式可使攻击者在仅有一个普通域账号的情况下,运程控制域中任意机器(包括域控服务器)。

漏洞描述

微软的漏洞描述如下图所示:

当中间人攻击者能够成功绕过NTLM MIC(消息完整性检查)保护时,Windows存在篡改漏洞。成功利用此漏洞的攻击者可以获得降级NTLM安全功能的能力。要利用此漏洞,攻击者需要篡改NTLM交换,然后攻击者可以修改NTLM数据包的标志,而不会使签名无效。

该漏洞的CVSS 3.0的评分虽然只有5.9,但与其他安全问题结合起来利用,将导致巨大的安全威胁。

最严重的攻击场景下,攻击者仅需要拥有一个普通域账号,即可远程控制 Windows 域内的所有机器,包括域控服务器。

奇安信 A-TEAM 于 2019 年 2 月向微软官方提交了此漏洞,并获得微软公司官方致谢。

 

影响系统

Windows 7 sp1 至Windows 10 1903

Windows Server 2008 至Windows Server 2019 

处置建议

微软官方已推出更新补丁,请在所有受影响的 Windows 客户端、服务器下载安装更新。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040

安装完毕后需重启服务器。 

注意:此漏洞存在多种不同的利用方案,强烈建议通过安装官方补丁的方式对此漏洞进行完全修复。如无法实现在所有服务器上安装该补丁,请优先保证在重要的服务器(如所有的域控制器、所有的 Exchange 服务器)上安装该补丁。

​其他加固措施

强烈建议通过安装官方补丁的方式对漏洞进行修复。对于无法安装补丁的服务器,可通过以下加固措施对此漏洞的某些利用方式进行适当缓解。(注意,这些加固措施并没有修复漏洞,只是针对该漏洞可能存在的一些利用方式进行缓解。这些缓解措施有可能被高级别的攻击者绕过。)

  1. 开启所有重要服务器的强制 SMB 签名功能

    (在 Windows 域环境下,默认只有域控服务器开启了强制 SMB 签名)

  2. 启用所有域控服务器的强制 LDAPS Channel Binding 功能

    (此功能默认不启用。启用后有可能造成兼容性问题。)

  3. 启用所有域控服务器的强制 LDAP Signing 功能

    (此功能默认不启用。启用后有可能造成兼容性问题。)

  4. 开启所有重要服务器(比如所有 Exchange 服务器)上相关应用的Channel Binding 功能(如 IIS 的 Channel Binding 功能)
    以上为本文全部内容,更多IDC行业资讯,服务器知识,请关注锐讯网络

  内网大杀器,CVE-2019-1040,Windows漏洞

售前在线咨询

以下为10位资深销售主管官方企业Q,更多销售员Q请咨询销售主管

售后服务

或与官方提供的专属QQ一对一直接服务

工作时间: 周一至周五 9:30至17:30 周六13:30至17:30,其它日期按国家法定节假日休假,如果有不便之请敬请谅解! 售后技术支持:多部门7*24小时机制

客户投诉留言

电话和QQ,以便我们为您提供优质服务! *为必填项