安全专家披露可被远程利用的CVE-2021-1678 Windows漏洞详情

Microsoft在今年1月周二补丁日中修复了Windows NT LAN Manager(NTLM)中的一个安全特性绕过漏洞,有关该漏洞的更多详情已经出现。

该漏洞编号为CVE-2021-1678(CVSS评分4.3),虽然有关该漏洞的确切详情仍不可知,但该漏洞可被远程利用,存在于与网络协议栈相关的脆弱组件中。

Crowdstrike公司的研究人员表示,如果不修复,攻击者可借助NTLM中继利用该漏洞实现远程执行代码。

研究人员在上周五发布的安全公告中称,“该漏洞允许攻击者将NTLM身份验证会话中继到受攻击的计算机,并使用打印机后台处理程序MSRPC接口在受攻击的计算机上远程执行代码。”

NTLM中继攻击是一种中间人攻击,通常允许具有网络访问权限的攻击者劫持客户端和服务器之间的合法身份验证流量,并中继这些已验证的身份验证请求,以访问网络服务。

安全专家披露可被远程利用的CVE-2021-1678 Windows漏洞详情

成功利用该漏洞,攻击者还可以远程在Windows计算机上运行代码,或通过再次利用指向受损服务器的NTLM凭据,在该网络上横向移动至关键系统,例如托管域控制器的服务器。

虽然可以通过SMB和LDAP签名以及启用增强的身份验证保护(EPA)来阻止此类攻击,但CVE-2021-1678利用了MSRPC(Microsoft远程过程调用)中的一个缺陷,导致其易受中继攻击。

具体来说,研究人员发现IRemoteWinspool(远程打印机后台处理程序管理的RPC接口)可被用来执行一系列RPC操作,并使用劫持的NTLM会话在目标计算机上写入任意文件。

Microsoft在一份支持文档中表示,它通过“提高RPC身份验证级别,并引入新的策略和注册表项,允许客户在服务器端禁用或启用强制模式以提高身份验证级别”来修复该漏洞。

除了安装1月12日的Windows更新外,Microsoft还敦促用户在打印服务器上启用强制模式,并表示从2021年6月8日起,所有Windows设备都将默认启用该设置。

作者:Ravie Lakshmanan
来源:The Hacker News

相关推荐: CVE-2021-2109 Weblogic Server远程代码执行漏洞复现及分析

2021年1月Oracle发布了安全更新补丁,包含Oracle产品系列中的329个新安全补丁。此次公告中特别提到了,2020年11月1日发布的Oracle WebLogic Server关于CVE-2020-14750漏洞的安全公告。强烈建议客户应用此补丁更新…

本文为转载文章,源自互联网,由网络整理整理编辑,转载请注明出处:https://www.hacksafe.net/vuls/5566.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注