- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
威胁预警团队
2021/07/30
MS-EFSRPC是 Microsoft 的加密文件系统远程协议,用于对远程存储和通过网络访问的加密数据进行维护和管理。近日,新华三攻防实验室威胁预警团队监测到国外安全研究员公布了利用MS-EFSRPC进行NTLM中继攻击的概念验证 (PoC) 代码,该漏洞目前为0 Day漏洞,微软暂未发布修复补丁。
攻击者可以针对域控制器使用 MS-EFSRPC 协议发送其凭据,然后将 DC NTLM 凭据中继到 Active Directory 证书服务 AD CS Web 注册页面以注册 DC 证书。攻击者通过以上操作将获取到一个有效的身份验证证书,该证书可用于作为 DC 访问域服务,从而完全控制整个域环境。
目前针对该漏洞利用的POC已经公开,受影响的用户请及时更新版本,漏洞利用成功的截图如下:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2019 (Server Core installation)
Windows Server 2019
严重
微软公司给出了针对该漏洞的缓解办法,目前正式补丁尚未发布。
1. 微软建议客户在域控制器上禁用 NTLM 身份验证。
2. 如果处于业务原因无法关闭 NTLM,也可采取以下两个步骤的任意一个来缓解影响:
- 使用组策略在域中的任何 AD CS 服务器上禁用 NTLM
- 在运行Certificate Authority Web Enrollment或者Certificate Enrollment Web Service服务的域中的 AD CS 服务器上禁用 Internet 信息服务 (IIS) 的 NTLM
1、新华三安全设备防护方案
新华三IPS规则库1.0.142版本将支持对该漏洞利用的识别,新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量。
2、新华三态势感知解决方案
新华三态势感知已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。
1、 https://msrc.microsoft.com/update-guide/vulnerability/ADV210003
产品与解决方案
售前咨询
售后咨询
人工在线咨询
