首頁 > 安全研究 > 安全通報 > 安全通告

Windows NTLM篡改漏洞安全通告

發布時間 2019-06-12

漏洞編號和級別


CVE編號:CVE-2019-1040,危險級別:中危,CVSS分值:廠商自評:5.3,官方未評定


影響版本


受影響的版本


Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1703 for x64-based Systems
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1803 (Server Core Installation)

Windows Server, version 1903 (Server Core installation)


漏洞概述


6月11日,微軟官方發布漏洞CVE-2019-1040的公告。


該漏洞存在于Windows認證機制中。當中間人攻擊者能夠成功繞過NTLM MIC(消息完整性檢查)保護時,Microsoft Windows中存在篡改漏洞。成功利用此漏洞的攻擊者可以獲得降級NTLM安全功能的能力。要利用此漏洞,攻擊者需要篡改NTLM交換。然后,攻擊者可以修改NTLM數據包的標志,而不會使簽名無效。


攻擊者通過利用該漏洞可造成多種不同的危害。其中,最嚴重危害為:通過利用該漏洞,攻擊者在僅有一個普通域賬號的情況下可遠程控制 Windows 域內的任何機器,包括域控服務器。


漏洞驗證


暫無POC/EXP。


修復建議


微軟官方已推出更新補丁,請在所有受影響的 Windows 客戶端、服務器下載安


裝更新:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040。安裝完畢后需重啟服務器。


其他加固措施:


強烈建議通過安裝官方補丁的方式對漏洞進行修復。對于無法安裝補丁的服務器,可通過以下加固措施對此漏洞的某些利用方式進行適當緩解。(注意,這些加固措施并沒有修復漏洞,只是針對該漏洞可能存在的一些利用方式進行緩解。這些緩解措施有可能被高級別的攻擊者繞過。)


開啟所有重要服務器的強制 SMB 簽名功能

(在 Windows 域環境下,默認只有域控服務器開啟了強制 SMB 簽名)


啟用所有域控服務器的強制 LDAPS Channel Binding 功能

(此功能默認不啟用。啟用后有可能造成兼容性問題。)


啟用所有域控服務器的強制 LDAP Signing 功能

(此功能默認不啟用。啟用后有可能造成兼容性問題。)


開啟所有重要服務器(比如所有 Exchange 服務器)上相關應用的Channel Binding 功能(如 IIS 的 Channel Binding 功能)


參考鏈接


https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040


上一篇 下一篇