這些漏洞讓攻擊者可破解口令獲取Windows憑證。

[[197256]]

行為防火墻專家Preempt公司的安全研究人員，在微軟 Windows NTLM(NT局域網(wǎng)管理器)安全協(xié)議中發(fā)現(xiàn)兩個關鍵安全漏洞，一旦被利用，可使攻擊者破解口令，獲得目標網(wǎng)絡憑證。

第一個漏洞(CVE-2017-8563)存在于NTLM中繼的LDAP(輕量級目錄訪問協(xié)議)中，第二個漏洞則針對廣泛使用的遠程桌面協(xié)議(RDP)受限管理模式。

Preempt共同創(chuàng)始人兼CEO阿基特·桑切蒂稱：“威脅態(tài)勢持續(xù)發(fā)展，凸顯出現(xiàn)有安全協(xié)議中存在的漏洞，這2個漏洞也沒什么不同。NTLM讓公司企業(yè)和個人處于憑證轉發(fā)和口令破解的風險之下，最終，闡明了為什么公司企業(yè)必須保持警惕，并確保其部署始終是安全的——尤其是在使用NTLM這種遺留協(xié)議的時候。”

Windows系統(tǒng)中，LDAP保護用戶不受憑證轉發(fā)和中間人攻擊的侵害，但由于該漏洞的存在，LDAP不再能防護住憑證轉發(fā)。因此，攻擊者可借此創(chuàng)建域管理員賬戶，取得對被攻擊網(wǎng)絡的完全控制權。

至于RDP，只要是Windows用戶，基本都知道其用途：不用交出自己的口令就能連接可能被黑的遠程主機。于是，利用NTLM所做的每一個攻擊，比如憑證中繼和口令破解，都可以對RDP受限管理模式進行。

Preempt通告了微軟這2個漏洞的情況，針對第一個漏洞的補丁已放出，而第二個漏洞則是微軟已確知的問題。

建議訪問Preempt官方博客(https://blog.preempt.com/new-ldap-rdp-relay-vulnerabilities-in-ntlm)以獲取更多技術細節(jié)。

由于系統(tǒng)中不時發(fā)現(xiàn)關鍵安全漏洞，Windows操作系統(tǒng)要為80%的惡意軟件感染負責是一個確定的事實。今年5月襲擊了全球100多個國家的WannaCry勒索軟件，也是Windows系統(tǒng)中SMB(服務器消息塊)協(xié)議漏洞所致。