微軟NTLM協議曝出重大漏洞現有緩解措施很難徹底修複

發布時間：2019-06-12 瀏覽數：

近日，外媒報道了微軟 NTLM 協議中存在的新漏洞，或導致在任何 Windows 計算機上執行遠程代碼、或對任何支持 Windows 集成身份驗證（WIA）的 Web 服務器（如 Exchange 和 ADFS）進行身份驗證。具體說來是，Perrmpt 研究小組發現了由三個邏輯缺陷組成的兩個嚴重漏洞，且所有 Windows 版本都易受到攻擊影響。更糟糕的是，新漏洞可繞過微軟此前已部署的緩解措施。微軟NTLM協議曝出重大漏洞現有緩解措施很難徹底修複(1)

NTLM 中繼流程示意（來自：HelpNetSecurity，viaMSPU）

據悉，NTLM Relay 是 Active Directory 環境中最常用的攻擊技術之一。雖然微軟此前已經開發了幾種緩解 NTLM 中繼攻擊的緩解措施，但 Preempt 研究人員發現其仍然存在隱患：