概述

微軟當(dāng)局在6月補(bǔ)丁日發(fā)布了重磅漏洞CVE-2019-1040的安全補(bǔ)丁。

該漏洞存在于Windows大部分版本中，攻擊者可以利用該漏洞可繞過NTLM MIC的防護(hù)機(jī)制，結(jié)合其他漏洞和機(jī)制，某些場(chǎng)景下可以導(dǎo)致域內(nèi)的普通用戶直接獲取對(duì)于域控服務(wù)器的控制。

近日，對(duì)于此漏洞的利用細(xì)節(jié)被安全研究人員公布出來，利用此漏洞獲取內(nèi)網(wǎng)的控制變得非常可行，堪稱內(nèi)網(wǎng)大殺器，形成現(xiàn)實(shí)的巨大威脅。

漏洞描述

微軟的漏洞描述如下圖所示：

當(dāng)中間人攻擊者能夠成功繞過NTLM MIC（消息完整性檢查）保護(hù)時(shí)，Windows存在篡改漏洞。成功利用此漏洞的攻擊者可以獲得降級(jí)NTLM安全功能的能力。要利用此漏洞，攻擊者需要篡改NTLM交換，然后攻擊者可以修改NTLM數(shù)據(jù)包的標(biāo)志，而不會(huì)使簽名無效。

該漏洞的CVSS 3.0的評(píng)分雖然只有5.9，但與其他安全問題結(jié)合起來利用，將導(dǎo)致巨大的安全威脅。

最嚴(yán)重的攻擊場(chǎng)景下，攻擊者僅需要擁有一個(gè)普通域賬號(hào)，即可遠(yuǎn)程控制 Windows 域內(nèi)的所有機(jī)器，包括域控服務(wù)器。

奇安信 A-TEAM 于 2019 年 2 月向微軟官方提交了此漏洞，并獲得微軟公司官方致謝：

影響系統(tǒng)

Windows 7 sp1 至Windows 10 1903

Windows Server 2008 至Windows Server 2019

利用場(chǎng)景

對(duì)于特定環(huán)境， CVE-2019-1040漏洞的攻擊鏈目前已經(jīng)確定的兩種攻擊途徑：

1、攻擊域Exchange Server

2、攻擊域AD Server

一、攻擊域Exchange Server/管理員

前提條件

A、Exchange服務(wù)器可以是任何版本（包括為PrivExchange修補(bǔ)的版本）。唯一的要求是，在以共享權(quán)限或RBAC模式安裝時(shí)，Exchange默認(rèn)具有高權(quán)限。

B、域內(nèi)任意賬戶。（由于能產(chǎn)生SpoolService錯(cuò)誤的唯一要求是任何經(jīng)過身份驗(yàn)證的域內(nèi)帳戶）

C、CVE-2019-1040漏洞的實(shí)質(zhì)是NTLM數(shù)據(jù)包完整性校驗(yàn)存在缺陷，故可以修改NTLM身份驗(yàn)證數(shù)據(jù)包而不會(huì)使身份驗(yàn)證失效。而此攻擊鏈中攻擊者刪除了數(shù)據(jù)包中阻止從SMB轉(zhuǎn)發(fā)到LDAP的標(biāo)志。

D、構(gòu)造請(qǐng)求使Exchange Server向攻擊者進(jìn)行身份驗(yàn)證，并通過LDAP將該身份驗(yàn)證中繼到域控制器，即可使用中繼受害者的權(quán)限在Active Directory中執(zhí)行操作。比如為攻擊者帳戶授予DCSync權(quán)限。

E、如果在可信但完全不同的AD林中有用戶，同樣可以在域中執(zhí)行完全相同的攻擊。（因?yàn)槿魏谓?jīng)過身份驗(yàn)證的用戶都可以觸發(fā)SpoolService反向連接）

漏洞利用攻擊鏈

1、使用域內(nèi)任意帳戶，通過SMB連接到被攻擊ExchangeServer，并指定中繼攻擊服務(wù)器。同時(shí)必須利用SpoolService錯(cuò)誤觸發(fā)反向SMB鏈接。

2、中繼服務(wù)器通過SMB回連攻擊者主機(jī)，然后利用ntlmrelayx將利用CVE-2019-1040漏洞修改NTLM身份驗(yàn)證數(shù)據(jù)后的SMB請(qǐng)求據(jù)包中繼到LDAP。

3、使用中繼的LDAP身份驗(yàn)證，此時(shí)Exchange Server可以為攻擊者帳戶授予DCSync權(quán)限。

4、攻擊者帳戶使用DCSync轉(zhuǎn)儲(chǔ)AD域中的所有域用戶密碼哈希值（包含域管理員的hash，此時(shí)已拿下整個(gè)域）。

二、攻擊域AD Server/管理員

前提條件

A、服務(wù)器可以是任何未修補(bǔ)的Windows Server或工作站，包括域控制器。在定位域控制器時(shí)，至少需要一個(gè)易受攻擊的域控制器來中繼身份驗(yàn)證，同時(shí)需要在域控制器上觸發(fā)SpoolService錯(cuò)誤。

B、需要控制計(jì)算機(jī)帳戶。這可以是攻擊者從中獲取密碼的計(jì)算機(jī)帳戶，因?yàn)樗麄円呀?jīng)是工作站上的Administrator或攻擊者創(chuàng)建的計(jì)算機(jī)帳戶，濫用Active Directory中的任何帳戶都可以默認(rèn)創(chuàng)建這些帳戶。

C、CVE-2019-1040漏洞的實(shí)質(zhì)是NTLM數(shù)據(jù)包完整性校驗(yàn)存在缺陷，故可以修改NTLM身份驗(yàn)證數(shù)據(jù)包而不會(huì)使身份驗(yàn)證失效。而此攻擊鏈中攻擊者刪除了數(shù)據(jù)包中阻止從SMB轉(zhuǎn)發(fā)到LDAP的標(biāo)志。

D、通過濫用基于資源的約束Kerberos委派，可以在AD域控服務(wù)器上授予攻擊者模擬任意域用戶權(quán)限。包括域管理員權(quán)限。

E、如果在可信但完全不同的AD林中有用戶，同樣可以在域中執(zhí)行完全相同的攻擊。（因?yàn)槿魏谓?jīng)過身份驗(yàn)證的用戶都可以觸發(fā)SpoolService反向連接）

漏洞利用攻擊鏈

1、使用域內(nèi)任意帳戶，通過SMB連接到被攻擊域控服務(wù)器，并指定中繼攻擊服務(wù)器。同時(shí)必須利用SpoolService錯(cuò)誤觸發(fā)反向SMB鏈接。

2、中繼服務(wù)器通過SMB回連攻擊者主機(jī)，然后利用ntlmrelayx將利用CVE-2019-1040漏洞修改NTLM身份驗(yàn)證數(shù)據(jù)后的SMB請(qǐng)求據(jù)包中繼到LDAP。

3、使用中繼的LDAP身份驗(yàn)證，將受害者服務(wù)器的基于資源的約束委派權(quán)限授予攻擊者控制下的計(jì)算機(jī)帳戶。

4、攻擊者現(xiàn)在可以作為AD服務(wù)器上的任意用戶進(jìn)行身份驗(yàn)證。包括域管理員。

處置建議

鑒于目前安全研究人員（見參考鏈接3）已經(jīng)披露了漏洞詳情和利用方式，并在博客中公開了含POC代碼的Github地址，此漏洞實(shí)乃內(nèi)網(wǎng)大殺器，強(qiáng)烈建議受版本影響的用戶緊急進(jìn)行修復(fù)以消除威脅。

修復(fù)方案

微軟官方已推出更新補(bǔ)丁，請(qǐng)?jiān)谒惺苡绊懙?Windows 客戶端、服務(wù)器下載安裝更新并重啟計(jì)算機(jī)。

注意：此漏洞存在多種不同的利用方案，強(qiáng)烈建議通過安裝官方補(bǔ)丁的方式對(duì)此漏洞進(jìn)行完全修復(fù)。如無法實(shí)現(xiàn)在所有服務(wù)器上安裝該補(bǔ)丁，請(qǐng)優(yōu)先保證在重要的服務(wù)器（如所有的域控制器、所有的 Exchange 服務(wù)器）上安裝該補(bǔ)丁。

其他加固措施

對(duì)于無法安裝補(bǔ)丁的服務(wù)器，可通過以下加固措施對(duì)此漏洞的某些利用方式進(jìn)行適當(dāng)緩解。注意，這些加固措施并沒有修復(fù)漏洞，只是針對(duì)該漏洞可能存在的一些利用方式進(jìn)行緩解。這些緩解措施有可能被高級(jí)別的攻擊者繞過。

開啟所有重要服務(wù)器的強(qiáng)制 SMB 簽名功能

（在 Windows 域環(huán)境下，默認(rèn)只有域控服務(wù)器開啟了強(qiáng)制 SMB 簽名）

啟用所有域控服務(wù)器的強(qiáng)制 LDAPS Channel Binding 功能

（此功能默認(rèn)不啟用。啟用后有可能造成兼容性問題。）

啟用所有域控服務(wù)器的強(qiáng)制 LDAP Signing 功能

（此功能默認(rèn)不啟用。啟用后有可能造成兼容性問題。）

開啟所有重要服務(wù)器（比如所有 Exchange 服務(wù)器）上相關(guān)應(yīng)用的Channel Binding 功能（如 IIS 的 Channel Binding 功能）

以上修復(fù)方案來自奇安信 CERT

參考鏈接

[1]

[2]

[3]