安全研究人員近日在微軟的Windows密鑰分發(fā)中心（KDC）代理中發(fā)現(xiàn)了一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2024-43639），攻擊者可能利用該漏洞完全控制受影響的服務(wù)器。該漏洞源于KDC代理服務(wù)中缺乏對Kerberos響應(yīng)長度的檢查，導(dǎo)致整數(shù)溢出，從而使得未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者能夠以目標(biāo)服務(wù)的權(quán)限執(zhí)行任意代碼，可能導(dǎo)致系統(tǒng)完全淪陷。

漏洞背景

該漏洞由昆侖實(shí)驗(yàn)室與Cyber KunLun的安全研究人員聯(lián)合發(fā)現(xiàn)，主要存在于KDC代理服務(wù)器服務(wù)（KDCSVC）中。KDCSVC通過HTTPS代理Kerberos流量，為遠(yuǎn)程工作負(fù)載提供Kerberos身份驗(yàn)證功能。研究人員分析指出，漏洞的核心問題在于對Kerberos響應(yīng)長度的不當(dāng)處理，缺乏必要的驗(yàn)證檢查，導(dǎo)致攻擊者可通過精心構(gòu)造的響應(yīng)觸發(fā)內(nèi)存損壞，進(jìn)而執(zhí)行任意代碼。

Kerberos是Windows環(huán)境中關(guān)鍵的身份驗(yàn)證協(xié)議，廣泛應(yīng)用于Active Directory域中。當(dāng)遠(yuǎn)程客戶端需要身份驗(yàn)證但無法直接連接到域控制器時(shí)，KDC代理便會作為中間件，通過HTTPS轉(zhuǎn)發(fā)身份驗(yàn)證請求。這一功能尤其適用于RDP網(wǎng)關(guān)和DirectAccess等服務(wù)。

漏洞利用的技術(shù)細(xì)節(jié)

攻擊者通過控制一個(gè)服務(wù)器并返回精心構(gòu)造的Kerberos響應(yīng)，利用KpsSocketRecvDataIoCompletion()函數(shù)未對響應(yīng)長度進(jìn)行驗(yàn)證的缺陷觸發(fā)整數(shù)溢出。漏洞在ASN.1編碼過程中導(dǎo)致內(nèi)存分配或重新分配失敗，從而引發(fā)內(nèi)存損壞。攻擊者甚至可以繞過現(xiàn)有的驗(yàn)證機(jī)制，直接進(jìn)入易受攻擊的代碼路徑。

影響范圍與風(fēng)險(xiǎn)

該漏洞僅影響明確配置為KDC代理服務(wù)器的系統(tǒng)，不影響域控制器。然而，對于依賴KDC代理的遠(yuǎn)程認(rèn)證服務(wù)（如RDP網(wǎng)關(guān)和DirectAccess）環(huán)境來說，攻擊者無需身份驗(yàn)證即可利用漏洞，后果可能極為嚴(yán)重。盡管截至2025年3月4日尚未發(fā)現(xiàn)相關(guān)攻擊，但詳細(xì)技術(shù)信息的披露增加了未來被利用的可能性。

緩解措施與修復(fù)建議

微軟已在2024年11月的安全更新中修復(fù)該漏洞，對KDC代理服務(wù)器服務(wù)中的響應(yīng)長度添加了驗(yàn)證檢查。建議運(yùn)行KDC代理的機(jī)構(gòu)立即應(yīng)用該補(bǔ)丁。若無法立即修補(bǔ)，可考慮暫時(shí)禁用KDC代理服務(wù)，盡管這可能會影響企業(yè)網(wǎng)絡(luò)外部用戶的遠(yuǎn)程認(rèn)證能力。此外，安全團(tuán)隊(duì)還應(yīng)監(jiān)控TCP端口88的流量，檢測潛在的可疑活動。