安全专家披露可被远程利用的CVE-2021-1678 Windows漏洞详情
2021-01-25 17:17:17 Author: www.freebuf.com(查看原文) 阅读量:69 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Microsoft在今年1月周二补丁日中修复了Windows NT LAN Manager(NTLM)中的一个安全特性绕过漏洞,有关该漏洞的更多详情已经出现。

该漏洞编号为CVE-2021-1678(CVSS评分4.3),虽然有关该漏洞的确切详情仍不可知,但该漏洞可被远程利用,存在于与网络协议栈相关的脆弱组件中。

Crowdstrike公司的研究人员表示,如果不修复,攻击者可借助NTLM中继利用该漏洞实现远程执行代码。

研究人员在上周五发布的安全公告中称,“该漏洞允许攻击者将NTLM身份验证会话中继到受攻击的计算机,并使用打印机后台处理程序MSRPC接口在受攻击的计算机上远程执行代码。”

NTLM中继攻击是一种中间人攻击,通常允许具有网络访问权限的攻击者劫持客户端和服务器之间的合法身份验证流量,并中继这些已验证的身份验证请求,以访问网络服务。

1611562544_600e7e3039da6c150ace8.png!small

成功利用该漏洞,攻击者还可以远程在Windows计算机上运行代码,或通过再次利用指向受损服务器的NTLM凭据,在该网络上横向移动至关键系统,例如托管域控制器的服务器。

虽然可以通过SMB和LDAP签名以及启用增强的身份验证保护(EPA)来阻止此类攻击,但CVE-2021-1678利用了MSRPC(Microsoft远程过程调用)中的一个缺陷,导致其易受中继攻击。

具体来说,研究人员发现IRemoteWinspool(远程打印机后台处理程序管理的RPC接口)可被用来执行一系列RPC操作,并使用劫持的NTLM会话在目标计算机上写入任意文件。

Microsoft在一份支持文档中表示,它通过“提高RPC身份验证级别,并引入新的策略和注册表项,允许客户在服务器端禁用或启用强制模式以提高身份验证级别”来修复该漏洞。

除了安装1月12日的Windows更新外,Microsoft还敦促用户在打印服务器上启用强制模式,并表示从2021年6月8日起,所有Windows设备都将默认启用该设置。

作者:Ravie Lakshmanan
来源:The Hacker News


文章来源: https://www.freebuf.com/vuls/261906.html
如有侵权请联系:admin#unsafe.sh