可被远程利用的CVE-2021-1678 Windows漏洞是怎么样的

这期内容当中小编将会给大家带来有关可被远程利用的CVE-2021-1678 Windows漏洞是怎么样的,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。

Microsoft在今年1月周二补丁日中修复了Windows NT LAN Manager(NTLM)中的一个安全特性绕过漏洞,有关该漏洞的更多详情已经出现。

该漏洞编号为CVE-2021-1678(CVSS评分4.3),虽然有关该漏洞的确切详情仍不可知,但该漏洞可被远程利用,存在于与网络协议栈相关的脆弱组件中。

Crowdstrike公司的研究人员表示,如果不修复,攻击者可借助NTLM中继利用该漏洞实现远程执行代码。

研究人员在上周五发布的安全公告中称,“该漏洞允许攻击者将NTLM身份验证会话中继到受攻击的计算机,并使用打印机后台处理程序MSRPC接口在受攻击的计算机上远程执行代码。”

NTLM中继攻击是一种中间人攻击,通常允许具有网络访问权限的攻击者劫持客户端和服务器之间的合法身份验证流量,并中继这些已验证的身份验证请求,以访问网络服务。

可被远程利用的CVE-2021-1678 Windows漏洞是怎么样的

成功利用该漏洞,攻击者还可以远程在Windows计算机上运行代码,或通过再次利用指向受损服务器的NTLM凭据,在该网络上横向移动至关键系统,例如托管域控制器的服务器。

虽然可以通过SMB和LDAP签名以及启用增强的身份验证保护(EPA)来阻止此类攻击,但CVE-2021-1678利用了MSRPC(Microsoft远程过程调用)中的一个缺陷,导致其易受中继攻击。

具体来说,研究人员发现IRemoteWinspool(远程打印机后台处理程序管理的RPC接口)可被用来执行一系列RPC操作,并使用劫持的NTLM会话在目标计算机上写入任意文件。

Microsoft在一份支持文档中表示,它通过“提高RPC身份验证级别,并引入新的策略和注册表项,允许客户在服务器端禁用或启用强制模式以提高身份验证级别”来修复该漏洞。

除了安装1月12日的Windows更新外,Microsoft还敦促用户在打印服务器上启用强制模式,并表示从2021年6月8日起,所有Windows设备都将默认启用该设置。

上述就是小编为大家分享的可被远程利用的CVE-2021-1678 Windows漏洞是怎么样的了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注亿速云行业资讯频道。

原创文章,作者:carmelaweatherly,如若转载,请注明出处:https://blog.ytso.com/220291.html

(0)
上一篇 2022年1月2日
下一篇 2022年1月2日

相关推荐

发表回复

登录后才能评论