歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

內網大殺器利用:CVE-2019-1040漏洞

來源:本站整理 作者:佚名 時間:2019-06-17 TAG: 我要投稿

微軟官方在6月補丁日中,發布了一枚重磅漏洞CVE-2019-1040的安全補丁。該漏洞存在于Windows大部分版本中,攻擊者可以利用該漏洞可繞過NTLM MIC的防護機制,結合其他漏洞和機制,某些場景下可以導致域內的普通用戶直接獲取對于域控服務器的控制。
近日,對于此漏洞的利用細節被安全研究人員公布出來,利用此漏洞獲取內網的控制變得非常可行,看他堪稱內網大殺器,形成現實的巨大威脅。
 
漏洞描述
微軟的漏洞描述如下圖所示:

當中間人攻擊者能夠成功繞過NTLM MIC(消息完整性檢查)保護時,Windows存在篡改漏洞。成功利用此漏洞的攻擊者可以獲得降級NTLM安全功能的能力。要利用此漏洞,攻擊者需要篡改NTLM交換,然后攻擊者可以修改NTLM數據包的標志,而不會使簽名無效。
該漏洞的CVSS 3.0的評分雖然只有5.9,但與其他安全問題結合起來利用,將導致巨大的安全威脅。

最嚴重的攻擊場景下,攻擊者僅需要擁有一個普通域賬號,即可遠程控制 Windows 域內的所有機器,包括域控服務器。
奇安信 A-TEAM 于 2019 年 2 月向微軟官方提交了此漏洞,并獲得微軟公司官方致謝:

 
影響系統
Windows 7 sp1 至Windows 10 1903
Windows Server 2008 至Windows Server 2019
 
利用場景
對于特定環境, CVE-2019-1040漏洞的攻擊鏈目前已經確定的兩種攻擊途徑:
1、攻擊域Exchange Server
2、攻擊域AD Server
一、攻擊域Exchange Server/管理員
前提條件
A、Exchange服務器可以是任何版本(包括為PrivExchange修補的版本)。唯一的要求是,在以共享權限或RBAC模式安裝時,Exchange默認具有高權限。
B、域內任意賬戶。(由于能產生SpoolService錯誤的唯一要求是任何經過身份驗證的域內帳戶)
C、CVE-2019-1040漏洞的實質是NTLM數據包完整性校驗存在缺陷,故可以修改NTLM身份驗證數據包而不會使身份驗證失效。而此攻擊鏈中攻擊者刪除了數據包中阻止從SMB轉發到LDAP的標志。
D、構造請求使Exchange Server向攻擊者進行身份驗證,并通過LDAP將該身份驗證中繼到域控制器,即可使用中繼受害者的權限在Active Directory中執行操作。比如為攻擊者帳戶授予DCSync權限。
E、如果在可信但完全不同的AD林中有用戶,同樣可以在域中執行完全相同的攻擊。(因為任何經過身份驗證的用戶都可以觸發SpoolService反向連接)
漏洞利用攻擊鏈
1、使用域內任意帳戶,通過SMB連接到被攻擊ExchangeServer,并指定中繼攻擊服務器。同時必須利用SpoolService錯誤觸發反向SMB鏈接。
2、中繼服務器通過SMB回連攻擊者主機,然后利用ntlmrelayx將利用CVE-2019-1040漏洞修改NTLM身份驗證數據后的SMB請求據包中繼到LDAP。
3、使用中繼的LDAP身份驗證,此時Exchange Server可以為攻擊者帳戶授予DCSync權限。
4、攻擊者帳戶使用DCSync轉儲AD域中的所有域用戶密碼哈希值(包含域管理員的hash,此時已拿下整個域)。
二、攻擊域AD  Server/管理員
前提條件
A、服務器可以是任何未修補的Windows Server或工作站,包括域控制器。在定位域控制器時,至少需要一個易受攻擊的域控制器來中繼身份驗證,同時需要在域控制器上觸發SpoolService錯誤。
B、需要控制計算機帳戶。這可以是攻擊者從中獲取密碼的計算機帳戶,因為他們已經是工作站上的Administrator或攻擊者創建的計算機帳戶,濫用Active Directory中的任何帳戶都可以默認創建這些帳戶。
C、CVE-2019-1040漏洞的實質是NTLM數據包完整性校驗存在缺陷,故可以修改NTLM身份驗證數據包而不會使身份驗證失效。而此攻擊鏈中攻擊者刪除了數據包中阻止從SMB轉發到LDAP的標志。
D、通過濫用基于資源的約束Kerberos委派,可以在AD域控服務器上授予攻擊者模擬任意域用戶權限。包括域管理員權限。
E、如果在可信但完全不同的AD林中有用戶,同樣可以在域中執行完全相同的攻擊。(因為任何經過身份驗證的用戶都可以觸發SpoolService反向連接)
漏洞利用攻擊鏈
1、使用域內任意帳戶,通過SMB連接到被攻擊域控服務器,并指定中繼攻擊服務器。同時必須利用SpoolService錯誤觸發反向SMB鏈接。
2、中繼服務器通過SMB回連攻擊者主機,然后利用ntlmrelayx將利用CVE-2019-1040漏洞修改NTLM身份驗證數據后的SMB請求據包中繼到LDAP。
3、使用中繼的LDAP身份驗證,將受害者服務器的基于資源的約束委派權限授予攻擊者控制下的計算機帳戶。
4、攻擊者現在可以作為AD服務器上的任意用戶進行身份驗證。包括域管理員。
 
處置建議
鑒于目前安全研究人員(見參考鏈接3)已經披露了漏洞詳情和利用方式,并在博客中公開了含POC代碼的Github地址,此漏洞實乃內網大殺器,強烈建議受版本影響的用戶緊急進行修復以消除威脅。
 
修復方案
微軟官方已推出更新補丁,請在所有受影響的 Windows 客戶端、服務器下載安裝更新并重啟計算機。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040
注意:此漏洞存在多種不同的利用方案,強烈建議通過安裝官方補丁的方式對此漏洞進行完全修復。如無法實現在所有服務器上安裝該補丁,請優先保證在重要的服務器(如所有的域控制器、所有的 Exchange 服務器)上安裝該補丁。
 
其他加固措施
對于無法安裝補丁的服務器,可通過以下加固措施對此漏洞的某些利用方式進行適當緩解。注意,這些加固措施并沒有修復漏洞,只是針對該漏洞可能存在的一些利用方式進行緩解。這些緩解措施有可能被高級別的攻擊者繞過。
開啟所有重要服務器的強制 SMB 簽名功能
(在 Windows 域環境下,默認只有域控服務器開啟了強制 SMB 簽名)
啟用所有域控服務器的強制 LDAPS Channel Binding 功能
(此功能默認不啟用。啟用后有可能造成兼容性問題。)
啟用所有域控服務器的強制 LDAP Signing 功能
(此功能默認不啟用。啟用后有可能造成兼容性問題。)
開啟所有重要服務器(比如所有 Exchange 服務器)上相關應用的Channel Binding 功能(如 IIS 的 Channel Binding 功能)
 

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视