Windows MS-EFSRPC协议Ntlm Relay攻击通告 - 360CERT

报告编号:B6-2021-072702

报告来源:360CERT

报告作者:360CERT

更新日期:2021-07-29

0x01   漏洞简述

2021年07月27日,360CERT监测发现Microsoft发布了缓解Windows域内证书服务Ntlm中继攻击的风险通告,漏洞等级:严重,漏洞评分:9.8

MS-EFSRPC是 Microsoft 的加密文件系统远程协议,用于对远程存储和通过网络访问的加密数据进行维护和管理。

攻击者利用该漏洞可使域控制器使用 MS-EFSRPC 接口对远程 NTLM 服务器进行身份验证并共享其身份验证信息,从而允许攻击者发起 NTLM 中继攻击并完全接管 Windows 域。

对此,360CERT建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。

0x02   风险等级

360CERT对该漏洞的评定结果如下

评定方式等级
威胁等级严重
影响面广泛
攻击者价值
利用难度
360CERT评分9.8

0x03   漏洞详情

ADV210003: Windows MS-EFSRPC协议Ntlm Relay攻击

编号: ADV210003

组件: Windows Server

漏洞类型: Ntlm Relay

影响: 接管windows域

简述: 攻击者利用该漏洞可使域控制器使用 MS-EFSRPC 接口对远程 NTLM 服务器进行身份验证并共享其身份验证信息,从而允许攻击者发起 NTLM 中继攻击并完全接管 Windows 域。

目前360CERT已经复现该漏洞:

0x04   影响版本

组件影响版本安全版本
windows server2008暂无
windows server2012暂无
windows server2016暂无
windows server2019暂无
windows server20H2暂无
windows server2004暂无

0x05   修复建议

通用修补建议

目前该漏洞暂无官方补丁,官方推荐使用以下方式进行防御:

1. 微软建议客户在域控制器上禁用 NTLM 身份验证。

2. 如果处于业务原因无法关闭 NTLM,也可采取以下两个步骤的任意一个来缓解影响:

- 使用组策略在域中的任何 AD CS 服务器上禁用 NTLM

- 在运行Certificate Authority Web Enrollment或者Certificate Enrollment Web Service服务的域中的 AD CS 服务器上禁用 Internet 信息服务 (IIS) 的 NTLM

0x06   产品侧解决方案

​若想了解更多产品信息或有相关业务需求,可移步至http://360.net。

360AISA全流量威胁分析系统

针对微软本次安全更新,360AISA已基于流量侧提供对应检测能力更新,请AISA用户联系techsupport@360.cn获取更新,尽快升级检测引擎和规则,做好安全防护工作。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

0x07   时间线

2021-07-27 360CERT发布通告

0x08   参考链接

1、 https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

0x09   特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

Windows MS-EFSRPC协议Ntlm Relay攻击通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

本文来源于: https://cert.360.cn/warning/detail?id=829633d81d8105b47cb4c545df717f3f

相关推荐

滴滴之后,Uber陷入数据安全风波 - FreeBuf网络安全行业门户

滴滴之后,Uber再度陷入数据安全风波。 网安的舆论漩涡的中心依旧是数据安全,这一点从近期种种合规行动中可见一斑。其中,出行行业由于其涉及庞大的用户数据、地图数据,成为数据安全的又一焦点聚集地。 回到今天的主主角,Uber。由于一件数据泄露

议题征集 | 「成都网络安全大会」金融分论坛,等你show - FreeBuf网络安全行业门户

2021 CCS成都网络安全大会(以下简称:CCS大会)将于8月26日至27日在成都举办。此次大会由成都市互联网信息办公室、成都高新区管委会联合主办,成都无糖信息技术有限公司承办;斗象科技与无糖信息达成战略合作,承办CSS大会的金融安全分论

议题征集 | 「成都网络安全大会」金融分论坛,等你show - FreeBuf网络安全行业门户

2021 CCS成都网络安全大会(以下简称:CCS大会)将于8月26日至27日在成都举办。此次大会由成都市互联网信息办公室、成都高新区管委会联合主办,成都无糖信息技术有限公司承办;斗象科技与无糖信息达成战略合作,承办CSS大会的金融安全分论

360CERT - 每日安全简报 (2021-07-27)

We are greeting further cooperation with all parts of security services. If you are interested or have other technical q

Apple任意代码执行漏洞通告 - 360CERT

报告编号:B6-2021-072701 报告来源:360CERT 报告作者:360CERT 更新日期:2021-07-27 0x01   漏洞简述 2021年07月27日,360CERT监测发现Apple发布了macOS、iOS、iPadO

Are crypto transactions safe?

Over the past several years, crypto has become incredibly popular. Banks, social media giants, universities, and even go

Discord used to host, spread, and control malware | CyberNews

Abuse for Discord has massively increased in popularity since last year, Sophos researchers claim. The chat platform is

Can the ransomware task force stem the tide of attacks?

The growth in ransomware during the past 18 months has been well documented, but the very public nature of recent attack

Indonesia's BRI Life probes reported data leak of 2M users

BRI Life, the insurance arm of Indonesia's Bank Rakyat Indonesia (BRI), said on Tuesday it was investigating claims that

加密固件之依据老固件进行解密

作者:OneShell@知道创宇404实验室 时间:2021年7月27日 IoT漏洞分析最为重要的环节之一就是获取固件以及固件中的文件系统。固件获取的方式也五花八门,硬核派有直接将flash拆下来到编程器读取,通过硬件调试器UART/SPI

As 5 principais causas de perda de pacotes de rede e como resolvê-las com o OpManager - Security Boulevard

Os pacotes de rede contêm informações que são enviadas e recebidas, permitindo a comunicação. Quando esses pacotes de re