欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Windows 域环境存在远程代码执行风险预警

来源:本站整理 作者:佚名 时间:2019-03-08 TAG: 我要投稿

0x00 事件背景
近日,360CERT 监测到国外安全研究人员公开了一个对 Windows 域环境造成严重威胁的攻击利用方案,为中间人攻击跟利用资源约束委派攻击的一个组合利用方式。该攻击利用方案不需要受害者主动去访问攻击者建立的服务,从而大大的提高了其可用性。攻击者只需要在控制域内的一台机器便可对同一广播域中的其它机器发起攻击,当受害者机器发起特定的网络请求时便会被攻击者控制。该攻击利用方案对 Windows 域环境构成严重威胁,360CERT 建议使用了 Windows 域环境的用户应尽快采取相应的缓解措施对该攻击利用方案进行防护。
 
0x01 影响范围
使用 Windows2012(及更高版本)做域控制器的 Windows 域环境。
 
0x02 缓解措施
在所有域控制器上打开强制 LDAP 签名与 LDAPS Channel Binding 功能。
将域内含有敏感权限的用户加入ProtectedUsers组,并且设置为“敏感账户,不能被委派”。
域环境内如果没有用到WPAD,可通过下发域策略禁用域内主机的 WinHttpAutoProxySvc 服务;如环境内没有用到IPV6,可通过主机防火墙或在网络层面限制网络中的 DHCPv6 流量。
 
0x03 时间线
2019-03-04 国外安全研究人员公开了该攻击利用方案
2019-03-08 360CERT 针对该攻击利用方案进行预警
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载