首页 > 安全研究 > 安全通报 > 安全通告

Windows NTLM篡改漏洞安全通告

发布时间 2019-06-12

漏洞编号和级别


CVE编号:CVE-2019-1040,危险级别:中危,CVSS分值:厂商自评:5.3,官方未评定


影响版本


受影响的版本


Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1703 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1803 (Server Core Installation)

Windows Server, version 1903 (Server Core installation)


漏洞概述


6月11日,微软官方发布漏洞CVE-2019-1040的公告。


该漏洞存在于Windows认证机制中。当中间人攻击者能够成功绕过NTLM MIC(消息完整性检查)保护时,Microsoft Windows中存在篡改漏洞。成功利用此漏洞的攻击者可以获得降级NTLM安全功能的能力。要利用此漏洞,攻击者需要篡改NTLM交换。然后,攻击者可以修改NTLM数据包的标志,而不会使签名无效。


攻击者通过利用该漏洞可造成多种不同的危害。其中,最严重危害为:通过利用该漏洞,攻击者在仅有一个普通域账号的情况下可远程控制 Windows 域内的任何机器,包括域控服务器。


漏洞验证


暂无POC/EXP。


修复建议


微软官方已推出更新补丁,请在所有受影响的 Windows 客户端、服务器下载安


装更新:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040。安装完毕后需重启服务器。


其他加固措施:


强烈建议通过安装官方补丁的方式对漏洞进行修复。对于无法安装补丁的服务器,可通过以下加固措施对此漏洞的某些利用方式进行适当缓解。(注意,这些加固措施并没有修复漏洞,只是针对该漏洞可能存在的一些利用方式进行缓解。这些缓解措施有可能被高级别的攻击者绕过。)


开启所有重要服务器的强制 SMB 签名功能

(在 Windows 域环境下,默认只有域控服务器开启了强制 SMB 签名)


启用所有域控服务器的强制 LDAPS Channel Binding 功能

(此功能默认不启用。启用后有可能造成兼容性问题。)


启用所有域控服务器的强制 LDAP Signing 功能

(此功能默认不启用。启用后有可能造成兼容性问题。)


开启所有重要服务器(比如所有 Exchange 服务器)上相关应用的Channel Binding 功能(如 IIS 的 Channel Binding 功能)


参考链接


https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040


上一篇 下一篇