壹号娱乐APP

信息动态

通知通告

目今位置: 首页 >> 信息动态 >> 通知通告 >> 正文

预警转达--CVE-2019-1040误差终露恐怖面目，，内网大杀器使用曝光！

宣布日期：2019-06-16 泉源：网络治理中心点击：

概述

微软官方在6月补丁日中，，宣布了一枚重磅误差CVE-2019-1040的清静补丁。该误差保存于Windows大部分版本中，，攻击者可以使用该误差可绕过NTLM MIC的防护机制，，连系其他误差和机制，，某些场景下可以导致域内的通俗用户直接获取关于域控服务器的控制。

克日，，关于此误差的使用细节被清静研究职员宣布出来，，使用此误差获取内网的控制变得非�？？？尚�，，堪称内网大杀器，，形成现实的重大威胁。

当中心人攻击者能够乐成绕过NTLM MIC（新闻完整性检查）�；；な�，，Windows保存改动误差。乐成使用此误差的攻击者可以获得降级NTLM清静功效的能力。要使用此误差，，攻击者需要改动NTLM交流，，然后攻击者可以修改NTLM数据包的标记，，而不会使署名无效。

该误差的CVSS 3.0的评分虽然只有5.9，，但与其他清静问题连系起来使用，，将导致重大的清静威胁。

最严重的攻击场景下，，攻击者仅需要拥有一个通俗域账号，，即可远程控制 Windows 域内的所有机械，，包括域控服务器。

影响系统

Windows 7 sp1 至Windows 10 1903

Windows Server 2008 至Windows Server 2019

处理建议

鉴于现在清静研究职员已经披露了误差详情和使用方式，，并在博客中公开了含POC代码的Github地点，，此误差实乃内网大杀器，，强烈建议受版本影响的用户紧迫举行修复以消除威胁。

修复方案

微软官方已推出更新补丁，，请在所有受影响的 Windows 客户端、服务器下载装置更新并重启盘算机。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040

注重：此误差保存多种差别的使用方案，，强烈建议通过装置官方补丁的方式对此误差举行完全修复。如无法实现在所有服务器上装置该补丁，，请优先包管在主要的服务器（如所有的域控制器、所有的 Exchange服务器）上装置该补丁。

其他加固步伐

关于无法装置补丁的服务器，，可通过以下加固步伐对此误差的某些使用方式举行适当缓解。注重，，这些加固步伐并没有修复误差，，只是针对该误差可能保存的一些使用方式举行缓解。这些缓解步伐有可能被高级别的攻击者绕过。

开启所有主要服务器的强制 SMB 署名功效

（在 Windows 域情形下，，默认只有域控服务器开启了强制 SMB 署名）

启用所有域控服务器的强制 LDAPS Channel Binding 功效

（此功效默认不启用。启用后有可能造成兼容性问题。）

启用所有域控服务器的强制 LDAP Signing 功效

（此功效默认不启用。启用后有可能造成兼容性问题。）

开启所有主要服务器（好比所有 Exchange 服务器）上相关应用的Channel Binding 功效（如 IIS 的Channel Binding 功效）

详情请看：https://mp.weixin.qq.com/s/nV8bY6JBbzTNjnd9XEcxYA

网络治理中心

2019年6月16日

【网站地图】