专家详细介绍了最近一个可远程攻击的Windows漏洞

关于Windows NT LAN Manager（NTLM）中的一个安全功能绕过漏洞的更多细节已经浮出水面，微软在本月早些时候的每月补丁周二更新中解决了该漏洞。

该漏洞被追踪为CVE-2021-1678（CVSS得分4.3），被描述为在绑定到网络堆栈的易受攻击组件中发现的“可远程攻击”漏洞，尽管该问题的确切细节仍不得而知。

现在，根据Crowdstrike的研究人员的说法，如果不修补安全漏洞，可能会让一个坏角色通过NTLM中继实现远程代码执行。

研究人员在周五的一份公告中说：“该漏洞允许攻击者将NTLM身份验证会话转发给受攻击的机器，并使用打印机后台处理程序MSRPC接口在受攻击的机器上远程执行代码。”。

NTLM中继攻击是一种中间人（MitM）攻击，通常允许访问网络的攻击者拦截客户端和服务器之间的合法身份验证流量，并中继这些经过验证的身份验证请求，以便访问网络服务。

成功利用此漏洞还可以允许对手在Windows计算机上远程运行代码，或通过重用指向受损服务器的NTLM凭据，在网络上横向移动到关键系统，如托管域控制器的服务器。

虽然可以通过SMB和LDAP签名以及启用增强的身份验证保护（EPA）来阻止此类攻击，但CVE-2021-1678利用了MSRPC（Microsoft远程过程调用）中的一个弱点，使其容易受到中继攻击。

具体来说，研究人员发现IRemoteWinspool—；远程打印机后台处理程序管理的RPC接口—；可以利用它来执行一系列RPC操作，并使用截获的NTLM会话在目标计算机上写入任意文件。

微软在一份支持文件中表示，它通过“提高RPC身份验证级别，并引入新的策略和注册表项，允许客户在服务器端禁用或启用强制模式以提高身份验证级别”来解决该漏洞

除了安装1月12日Windows更新外，该公司还敦促组织打开打印服务器上的强制模式，该设置将在2021年6月8日开始默认在所有Windows设备上启用。