微慑信息网

安全预警预警:Windows 认证漏洞 CVE-2019-1040


尊敬的客户:

奇安信 A-TEAM 于 2019 年 2 月向微软官方SRC提交了一枚Windows 认证相关漏洞,该漏洞可对 Windows 域环境造成严重危害。微软官方已于今日发布安全补丁对此漏洞进行修复。该漏洞被分配漏洞编号 CVE-2019-1040,且奇安信 A-TEAM 获得微软公司官方致谢。

 

Windows 认证漏洞 CVE-2019-1040 安全预警通告

 

文档信息

文档名称 Windows 认证漏洞CVE-2019-1040 安全预警通告
关键字 Windows 认证、CVE-2019-1040
发布日期 2019年06月12日
分析团队 奇安信安全监测与响应中心

漏洞描述

奇安信 A-TEAM 于 2018 年12 月发现该漏洞,于 2019 年 2 月将该漏洞详情提交至微软官方SRC。此漏洞被分配编号 CVE-2019-1040,且奇安信A-TEAM 获得微软官方致谢。

该漏洞存在于Windows 认证机制中。攻击者通过利用该漏洞可造成多种不同的危害。其中,最严重危害为:通过利用该漏洞,攻击者在仅有一个普通域账号的情况下可远程控制 Windows 域内的任何机器,包括域控服务器。

目前暂未监测到有漏洞利用程序在互联网传播,但因部分漏洞细节已被公开,不排除有攻击者利用已公开细节写出漏洞利用程序的可能性。

风险等级

奇安信安全监测与响应中心风险评级为:高危

预警等级:蓝色预警(一般事件)

影响范围

  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1703 for 32-bit Systems
  • Windows 10 Version 1703 for x64-based Systems
  • Windows 10 Version 1709 for 32-bit Systems
  • Windows 10 Version 1709 for ARM64-based Systems
  • Windows 10 Version 1709 for x64-based Systems
  • Windows 10 Version 1803 for 32-bit Systems
  • Windows 10 Version 1803 for ARM64-based Systems
  • Windows 10 Version 1803 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows 8.1 for 32-bit systems
  • Windows 8.1 for x64-based systems
  • Windows RT 8.1
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for Itanium-Based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1803 (Server Core Installation)
  • Windows Server, version 1903 (Server Core installation)

 

处置建议

  • 修复方案

微软官方已推出更新补丁,请在所有受影响的 Windows 客户端、服务器下载安装更新。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040

安装完毕后需重启服务器。

 

注意:此漏洞存在多种不同的利用方案,强烈建议通过安装官方补丁的方式对此漏洞进行完全修复。如无法实现在所有服务器上安装该补丁,请优先保证在重要的服务器(如所有的域控制器、所有的 Exchange 服务器)上安装该补丁。

 

  • 其他加固措施

强烈建议通过安装官方补丁的方式对漏洞进行修复。对于无法安装补丁的服务器,可通过以下加固措施对此漏洞的某些利用方式进行适当缓解。(注意,这些加固措施并没有修复漏洞,只是针对该漏洞可能存在的一些利用方式进行缓解。这些缓解措施有可能被高级别的攻击者绕过。)

  1. 开启所有重要服务器的强制 SMB 签名功能

    (在 Windows 域环境下,默认只有域控服务器开启了强制 SMB 签名)

  2. 启用所有域控服务器的强制 LDAPS Channel Binding 功能

    (此功能默认不启用。启用后有可能造成兼容性问题。)

  3. 启用所有域控服务器的强制 LDAP Signing 功能

    (此功能默认不启用。启用后有可能造成兼容性问题。)

  4. 开启所有重要服务器(比如所有 Exchange 服务器)上相关应用的Channel Binding 功能(如 IIS 的 Channel Binding 功能)

参考资料

[1].https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040

 

时间线

 

[1]. 2018 年 12 月,奇安信 A-TEAM 发现此漏洞

[2]. 2019 年 2 月,奇安信 A-TEAM 向微软官方 SRC 报告此漏洞

[3]. 2019年 6 月 12 日,微软官方发布更新补丁

[4]. 2019年 6 月 12 日,奇安信 CERT 发布预警通告

本文标题:安全预警预警:Windows 认证漏洞 CVE-2019-1040
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2019/0612_7944.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 安全预警预警:Windows 认证漏洞 CVE-2019-1040
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们