关于我们

【风险通告】CVE-2019-1040 微软域认证漏洞预警

发布时间:2019-06-12 00:00:00

2019年6月12日,金山云安全应急响应中心监控到微软发布了编号为cve-2019-1040的漏洞补丁, 该漏洞允许攻击者在域控环境下远程控制Windows域内的任何机器,危害较大, 建议用户及时安装系统更新,避免被黑客攻击。

漏洞编号:

CVE-2019-7304


漏洞名称:

微软域认证漏洞


漏洞危害等级:

高危


漏洞描述:

微软Windows域认证机制中存在漏洞,攻击者作为中间人, 在NTLM认证时, 可以将NTLM数据包中的验证标志位修改为不进行验证,从而绕过服务器端的验证功能,成功利用此漏洞的攻击者可以获得降级NTLM安全功能的能力。

影响版本:

Windows 10 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1703 for 32-bit Systems

Windows 10 Version 1703 for x64-based Systems

Windows 10 Version 1709 for 32-bit Systems

Windows 10 Version 1709 for ARM64-based Systems

Windows 10 Version 1709 for x64-based Systems

Windows 10 Version 1803 for 32-bit Systems

Windows 10 Version 1803 for ARM64-based Systems

Windows 10 Version 1803 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows 8.1 for 32-bit systems

Windows 8.1 for x64-based systems

Windows RT 8.1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1803 (Server Core Installation)

Windows Server, version 1903 (Server Core installation)


修复方案:

1.     执行修补程序:确保为工作站和服务器打上了所需的补丁,要注意,单独的补丁是不够的,公司还需要进行配置更改,以便得到完全的保护。

2.     配置更改:

a)     强制SMB签名:为了防止攻击者发起更简单的NTLM RELAY攻击,请务必在网络中的所有计算机上启用 SMB 签名。

b)     禁用NTLMv1:该版本相当不安全,建议通过适当的组策略来完全禁用。

c)     强制LDAP/S签名:为了防止LDAP中的NTLM RELAY攻击,在域控制器上强制LDAP签名和LDAPS通道绑定。

d)     强制实施EPA:为了防止NTLM在web服务器上被黑客用来发动中继攻击,强制所有web服务器(OWA、ADFS)只接受EPA的请求。

e)     减少NTLM的使用:因为即便采用了完整的安全配置,NTLM 也会比 Kerberos 带来更大的安全隐患,建议在不必要的环境中彻底弃用。


参考链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040


北京金山云网络技术有限公司

2019/06/12


以上就是金山云为您带来的【风险通告】CVE-2019-1040 微软域认证漏洞预警的全部内容,如果还想了解更多内容可访问金山云官网www.ksyun.com了解其它资讯。

金山云,开启您的云计算之旅

免费注册