微软NTLM零日漏洞四月前仍未修补

在过去两个月里，Windows NTLM 发现了第二个零日漏洞，为中继攻击和凭证窃取铺平了道路。微软没有提供补丁，但发布了最新的 NTLM 网络攻击缓解建议。

在研究人员报告在从 Windows 7 到当前 Windows 11 的所有 Windows 工作站和服务器版本中发现 NTLM 哈希值泄露零日漏洞后几天，微软向企业发布了关于如何在默认情况下减轻 NTLM 中继攻击的新指南。不过，目前还不清楚这两个进展在时间上是相关还是纯属巧合。无论如何，这个还没有 CVE 或 CVSS 分值的漏洞预计在几个月内都不会得到修补。

Windows NTLM 零日漏洞允许窃取凭证 ACROS Security 的研究人员报告说，他们在所有支持的 Windows 版本中发现了一个零日漏洞。 ACROS Security公司首席执行官Mitja Kolsek在一篇博文中写道：”只要打开带有此类文件的共享文件夹或USB磁盘，或者查看下载文件夹，而该文件夹中的此类文件之前是从攻击者的网页上自动下载的”，攻击者就可以窃取用户的NTLM凭证。 ACROS表示，在微软对该漏洞进行修复之前，不会发布任何有关该漏洞的进一步信息。但科尔塞克告诉 “黑暗阅读”，攻击者利用该漏洞的能力取决于各种因素，”如果不实际尝试利用，要找到该问题的可利用之处并不容易。微软已将该漏洞评估为中度或 “重要 “严重性漏洞，比 “关键 “严重性漏洞低一个等级。科尔塞克说，公司计划在 4 月份发布漏洞修复程序。

微软发言人在一封电子邮件评论中表示，该公司 “已经意识到了这一报告，并将采取必要的措施来保护客户的安全”。这一漏洞是ACROS自10月份以来向微软报告的第二个NTLM凭证泄露零日漏洞。前一个涉及Windows主题欺骗问题，允许攻击者胁迫受害者设备向攻击者控制的设备发送NTLM验证哈希值。微软也尚未发布该漏洞的补丁。这些漏洞是近年来出现的多个 NTLM 相关问题之一，包括 PetitPotam、DFSCoerce、PrinterBug/SpoolSample，以及最近影响开源策略执行引擎的一个漏洞。

传统协议的危险 Windows NTLM（NT LAN 管理器）是一种传统的身份验证协议，微软出于向后兼容的目的将其纳入了现代 Windows。攻击者经常针对该协议中的弱点拦截身份验证请求，并将其转发或 “中继 “到其他服务器或服务，而这些服务器或服务是原始用户可以访问的。微软在本周的公告中将 NTLM-中继描述为 “威胁行为者使用的一种流行攻击方法，它允许身份泄露”。这种攻击涉及胁迫受害者对攻击者控制的端点进行身份验证，并将身份验证转发给易受攻击的目标服务器或服务。该公告指出了攻击者以前使用过的漏洞，如 Outlook 中的 CVE-2023-23397 和 Windows LSA 中的 CVE-2021-36942，以利用缺乏对 NTLM-relaying 攻击保护的服务。为了应对此类攻击，微软更新了以前的指南，说明如何在 LDAP、AD CS 和 Exchange Server 中默认启用身份验证扩展保护（EPA）。最新的 Windows Server 2025 默认启用了 AD CS 和 LDAP 的 EPA。

该公告强调，鉴于 “Exchange Server 在 NTLM 威胁中扮演的独特角色”，企业有必要专门为 Exchange Server 启用 EPA。该公司指出，CVE-2024-21413、CVE-2023-23397 和 CVE-2023-36563 是攻击者出于 NTLM 胁迫目的而利用的近期漏洞。 “该公司说：”通过 Outlook 发送的 Office 文档和电子邮件是攻击者利用 NTLM 胁迫漏洞的有效切入点，因为它们能够在其中嵌入 UNC 链接。 Kolsek 说，目前还不清楚微软关于防范 NTLM 攻击的建议是否与他最近披露的漏洞有关。”他说：”[但是]如果可能的话，请遵循微软关于减少 NTLM 相关漏洞的建议。他补充说：”如果不行，可以考虑使用 0patch，”他指的是他的公司针对漏洞提供的免费微补丁，尤其是针对旧版本和不再受支持的软件产品中的漏洞。

信息来源：https://www.darkreading.com/application-security/microsoft-ntlm-zero-day-remain-unpatched-april

发表回复 取消回复

发表回复取消回复