E安全消息,Windows Kerberos身份认证协议中存在一个严重漏洞,对数百万服务器构成了重大威胁。微软在11月补丁星期二更新中解决了此问题。
Microsoft Kerberos是一种广泛使用的用于验证主机或用户身份的身份验证协议。为了利用这个漏洞,未经身份验证的行为者必须利用密码协议漏洞来实现RCE,微软在其“补丁星期二”中解释道。
该漏洞被追踪为CVE-2024-43639,CVSS得分为9.8(严重)。此漏洞允许攻击者向易受攻击的系统发送精心设计的请求,以获得未经授权的访问和远程代码执行(RCE)。
如果不及时修补,可能会导致各种规模的组织遭受严重后果,包括数据盗窃、系统中断,甚至整个系统被破坏。由于Windows Server的广泛使用和攻击者可以轻易利用,这个漏洞尤其令人担忧。
根据Censys调查结果,有超过两百万(2274340)个暴露的Windows Server实例,其中1211834个可能易受攻击。
不过,Censys研究称,并非所有这些实例都易受攻击,只有配置了Kerberos KDC代理的服务器才会受到影响。
“请注意,显示的设备只有在配置为Kerberos KDC代理协议服务器时,才易受攻击。”Censys博客文章写道。
这些设备中有一半以上被发现TCP/443端口开放,这是KDC代理协议服务器的默认端口,研究人员敦促管理员确认他们系统上该协议的存在。
供您参考,KDC代理协议服务器允许客户端通过HTTPS与KDC服务器通信,使用Kerberos协议(例如用于Kerberos身份验证服务和票证光栅服务交换的UDP/TCP 88,以及用于Kerberos密码更改的TCP 464)。这些协议假设可以直接、可靠地访问KDC服务器,通常在同一网络或VPN内,并通常用于远程桌面网关和DirectAccess等服务。
关于受影响最严重的地区,Censys指出,这些易受攻击的服务器中有34%位于美国,11%与Armstrong Enterprise Communications相关联,后者是一家托管IT提供商。
系统管理员应该修补所有配置为KDC代理服务器的Windows服务器,禁用不必要的KDC代理服务,并实施安全措施如网络分段和防火墙,以最小化网络攻击的风险。
鉴于许多服务器易受攻击,攻击者不断利用这些弱点。建议快速修补和采取额外的安全措施,以降低网络攻击的风险。
微软11月补丁星期二:修复91个漏洞,包含4个零日漏洞
2024.11.15
五眼联盟警告,零日漏洞利用正在成为“新常态”
2024.11.14
Palo Alto警告,防火墙管理界面RCE漏洞被攻击者利用
2024.11.19
注:本文由E安全编译报道,转载请联系授权并注明来源。