CVE-2019-1040 NTLM MIC 绕过漏洞
💡
原文中文,约5400字,阅读约需13分钟。
📝
内容提要
该文介绍了CVE-2019-1040漏洞的后利用方法,利用机器账户可以导出域内任意用户的Hash或远程连接域控。建议防守方及时安装微软发布的补丁程序进行修复。
🎯
关键要点
- CVE-2019-1040漏洞存在于Windows大部分版本中,攻击者可绕过NTLM消息完整性校验。
- 成功利用该漏洞的攻击者可以获得降级NTLM安全功能的能力,甚至接管整个域。
- 攻击者通过SMB连接目标机器,利用Print Spooler或PetitPotam漏洞触发NTLM认证。
- 中继服务器通过删除NTLM数据包中的字段,绕过完整性校验并修改标志位。
- 攻击目标可以是域控或Exchange服务器,攻击成功后可赋予高权限账户。
- 攻击Exchange服务器时,安全研究员可以通过修改NTLM认证数据包绕过完整性校验。
- 攻击域控时,需创建可控的机器账户并赋予委派权限以接管域。
- 漏洞影响的版本包括Windows 7 SP 1至Windows 10 1903及Windows Server 2008至2019。
- 微软已发布补丁程序,建议防守方及时安装以修复该漏洞。
➡️
