Windows 域环境存在远程代码执行风险预警
2019-03-08 11:24

报告编号:B6-2019-030801

报告来源:360-CERT

报告作者:360-CERT

更新日期:2019-03-08

0x00 事件背景

近日,360CERT 监测到国外安全研究人员公开了一个对 Windows 域环境造成严重威胁的攻击利用方案,为中间人攻击跟利用资源约束委派攻击的一个组合利用方式。该攻击利用方案不需要受害者主动去访问攻击者建立的服务,从而大大的提高了其可用性。攻击者只需要在控制域内的一台机器便可对同一广播域中的其它机器发起攻击,当受害者机器发起特定的网络请求时便会被攻击者控制。该攻击利用方案对 Windows 域环境构成严重威胁,360CERT 建议使用了 Windows 域环境的用户应尽快采取相应的缓解措施对该攻击利用方案进行防护。

0x01 影响范围

使用 Windows2012(及更高版本)做域控制器的 Windows 域环境。

0x02 缓解措施

  1. 在所有域控制器上打开强制 LDAP 签名与 LDAPS Channel Binding 功能。

  2. 将域内含有敏感权限的用户加入ProtectedUsers组,并且设置为“敏感账户,不能被委派”。

  3. 域环境内如果没有用到WPAD,可通过下发域策略禁用域内主机的 WinHttpAutoProxySvc 服务;如环境内没有用到IPV6,可通过主机防火墙或在网络层面限制网络中的 DHCPv6 流量。

0x03 时间线

2019-03-04 国外安全研究人员公开了该攻击利用方案

2019-03-08 360CERT 针对该攻击利用方案进行预警

0x04 参考链接

  1. The worst of both worlds: Combining NTLM Relaying and Kerberos delegation