Windows安全协议现 LDAP & RDP 中继漏洞

这些漏洞让攻击者可破解口令获取Windows凭证。

行为防火墙专家Preempt公司的安全研究人员,在微软 Windows NTLM(NT局域网管理器)安全协议中发现两个关键安全漏洞,一旦被利用,可使攻击者破解口令,获得目标网络凭证。

第一个漏洞(CVE-2017-8563)存在于NTLM中继的LDAP(轻量级目录访问协议)中,第二个漏洞则针对广泛使用的远程桌面协议(RDP)受限管理模式。

Preempt共同创始人兼CEO阿基特·桑切蒂称:“威胁态势持续发展,凸显出现有安全协议中存在的漏洞,这2个漏洞也没什么不同。NTLM让公司企业和个人处于凭证转发和口令破解的风险之下,最终,阐明了为什么公司企业必须保持警惕,并确保其部署始终是安全的——尤其是在使用NTLM这种遗留协议的时候。”

Windows系统中,LDAP保护用户不受凭证转发和中间人攻击的侵害,但由于该漏洞的存在,LDAP不再能防护住凭证转发。因此,攻击者可借此创建域管理员账户,取得对被攻击网络的完全控制权。

至于RDP,只要是Windows用户,基本都知道其用途:不用交出自己的口令就能连接可能被黑的远程主机。于是,利用NTLM所做的每一个攻击,比如凭证中继和口令破解,都可以对RDP受限管理模式进行。

Preempt通告了微软这2个漏洞的情况,针对第一个漏洞的补丁已放出,而第二个漏洞则是微软已确知的问题。

建议访问Preempt官方博客(https://blog.preempt.com/new-ldap-rdp-relay-vulnerabilities-in-ntlm)以获取更多技术细节。

由于系统中不时发现关键安全漏洞,Windows操作系统要为80%的恶意软件感染负责是一个确定的事实。今年5月袭击了全球100多个国家的WannaCry勒索软件,也是Windows系统中SMB(服务器消息块)协议漏洞所致。

本文作者:nana

来源:51CTO

时间: 2024-10-23 07:13:28

Windows安全协议现 LDAP & RDP 中继漏洞的相关文章

开发者论坛一周精粹(第十七期) :【漏洞预警】Windows再被爆SMB服务0day漏洞,阿里云提示您关注并修复

第十七期(2017年7月31日-2017年8月6日 ) 在美国拉斯维加斯举行的2017年度DEF CON黑客大会上,安全研究人员公布了Windows系统上的一个长达20年没有发现的漏洞,该漏洞名为"SMBLoris",黑客可以轻松的使用简短的20行代码利用该漏洞即可发起DoS攻击导致系统内存资源耗尽,该漏洞影响Windows 2000及以上系统的SMBv1协议 [漏洞预警]Windows再被爆SMB服务0day漏洞,阿里云提示您关注并修复 https://bbs.aliyun.com/

蓝牙协议实现爆严重安全漏洞,可在旧版本设备上构建勒索僵尸网络

本文讲的是蓝牙协议实现爆严重安全漏洞,可在旧版本设备上构建勒索僵尸网络, 如果你正在使用支持蓝牙功能的设备,那么请注意了!现在,无论你是使用智能手机.笔记本电脑.智能电视还是其他任何具备蓝牙功能的物联网设备,你都可能会遭遇恶意软件攻击,攻击者可以在无需与你进行任何交互的情况下远程接管你的设备. 近日,据外媒报道称,安全研究人员刚刚在蓝牙协议中发现了8个零日漏洞,这些漏洞将影响超过53亿设备--从Android.iOS.Windows以及Linux系统设备到使用短距离无线通信技术的物联网设备,无一

微软警告:Word现恐怖零日漏洞 瞬间瘫痪Win系统

近日,安全机构FireEye报告了一个零日漏洞,它存在于微软Word中,一个感染性RTF文件可瞬间致使Windows系统瘫痪. 按照FireEye说法,微软已经和自己一道寻求解决办法,但现在决定提前把事情公之于众. 据悉,受感染的RTF文件会自动运行Visual Basic脚本,连接一个远程服务器下载必要组件后黑掉计算机. 专家警告,在微软未发布补丁之前(最快4月11日补丁日),建议word用户一定远离未知来源的RTF文件. 微软警告:Word现恐怖零日漏洞 瞬间瘫痪Windows系统 本文转自

Windows Live的@live.com域名注册漏洞 利用代码_javascript技巧

又一个Windows Live的@live.com域名注册漏洞被发现,现在我们只要通过简单的一段JS代码就可以给Windows Live的注册界面添加@live.com地址,让人惊讶的是,硬塞进去的地址竟然可以成功注册到帐号!又是一次极好的机会,大家快来一起上吧! Update:更新代码,提供更多域名,包括live.cn方法简单: 1.进入这个页面:http://get.live.com/getlive/overview2.点击"立即注册"按钮3.在地址栏粘贴以下文件中的代码,并回车:

Windows版Quicktime现严重漏洞,苹果:快快卸载!

 4月15日消息,安全研究员Trend Micro今日在一篇博客中公布了Windows版QuickTime中被发现的两个严重漏洞,漏洞影响所有Windows版本,包括Windows XP.Vista.Win7.Win8.Win8.1以及Win10. 可能很多人对QuickTime不熟悉,QuickTime是苹果公司推出的一款拥有强大的多媒体技术的播放器,可让你以各式各样的文件格式观看互联网视频.高清电影和个人媒体作品.QuickTime与Flash Player作用相似,不过后者更为普及.需要注

Windows远程桌面管理(3389)爆出严重漏洞

此安全更新可解决远程桌面协议中两个秘密报告的漏洞.如果攻击者向受影响的系统发送一系列特制 RDP 数据包,则这些漏洞中较严重的漏洞可能允许远程执行代码.默认情况下,任何 Windows 操作系统都未启用远程桌面协议 (RDP).没有启用 RDP 的系统不受威胁. 对于 Microsoft Windows 所有受支持的版本,此安全更新的等级为"严重".有关详细信息,请参阅本节中"受影响和不受影响的软件"小节. 该安全更新通过修改远程桌面协议处理内存中数据包的方式以及

Windows 8获升级补丁 修复Flash漏洞

就在Adobe发布了最新的Flash Player版本之后,微软也之后发布了Windows 8/RT和Windows Server 2012的升级补丁,该补丁主要用于修复Adobe Flash Player中的漏洞. Windows 8获Flash Player更新补丁 Flash Player的最新版本修复了之前版本中的安全漏洞,而由于IE10中集成了Flash插件,因此微软也即时发布了升级补丁以提升系统的安全性. 此外,本次更新还修复了在打开包含嵌入Shockwave Flash对象的文档时

【重大漏洞预警】Windows两个关键远程代码执行漏洞

微软6月补丁日披露两个正在被利用的远程代码执行漏洞(CVE-2017-8543)Windows Search远程代码执行漏洞和(CVE-2017-8464)LNK文件(快捷方式)远程代码执行漏洞. 漏洞名称:Windows Search远程代码执行漏洞 漏洞编号:CVE-2017-8543 漏洞等级:严重 漏洞概要:Windows搜索服务(WSS)是windows的一项默认启用的基本服务.允许用户在多个Windows服务和客户端之间进行搜索.当Windows搜索处理内存中的对象时,存在远程执行代

TrueCrypt Windows 加密应用再爆严重安全漏洞

尽管之前开源中国已经报道过关于 TrueCrypt 安全漏洞的问题.但是还是会有很多人在使用该工具用来保护 Windows 的磁盘数据.今天 Google 的 Project Zero 研究人员 James Forshaw 又发现两个新的提权漏洞,这两个漏洞导致攻击者可以完全控制你的数据.James Forshaw 在 Twitter 上称之前 TrueCrypt 是由一个众筹的团队 iSec 进行审计的,审计的错漏是可以理解的,因为 Windows 的驱动要复杂得多. Forshaw 还没有完