微软已修复可窃取Windows登录凭证的秘密漏洞

今年5月, 哥伦比亚安全研究员 Juan Diego 向微软报告了一个漏洞,该漏洞可使得攻击者在无需任何用户交互的情况下随意窃取 Windows NTLM 密码哈希,允许与受害者网络直接连接的攻击者升级对附近系统的访问。Microsoft通过ADV170014安全顾问在本月的补丁周二修补了该漏洞,此次补丁仅适用于Windows 10和Windows Server 2016的用户。

事实上,这种攻击操作性强且不涉到较深层次的技术技能,攻击者只需要将特制的 Shell 命令文件 (SCF 文件) 放在可公开访问的 windows 文件夹中,然后该文件将由于安全问题而执行收集 NTLM 密码哈希, 并将其发送回攻击者的服务器;这样一来,攻击者可以轻松破解 NTLM 密码哈希并且随意访问受害者的计算机。今年5月, 哥伦比亚安全研究员 Juan Diego 向微软报告了黑客的入侵。

大家都知道微软 NTLM 体系结构有一些漏洞, 当pentester发动攻击的时候,第一件事情就是窃取哈希,这已经不新鲜了,而且大多时候这些技术需要用户介入来进行完整的攻击。不过此次的攻击黑客掌握全部主动权:SCF文件中的恶意命令就在黑客将共享文件夹中里SCF文件上传之后就已经开始运行了,并不需要等待用户查看文件内容,也就是说不需要用户交互就能完成攻击。除了已经被修复的windows 10 和服务器 2016,较旧版本的 windows 3.11 到 windows 10、台式机和服务器由于注册表修改与旧版本的 windows 防火墙不兼容问题依然容易被攻击。当然,我只测试了windows 7 和 windows 10,其他的就需要让微软自己来做了。

然而,并不是所有共享文件夹的计算机都属于易被攻击对象,由于Windows 限制漏洞范围的默认选项,黑客攻击对具有密码保护的共享文件夹的计算机就不起作用,不过介于大多情况下,许多 Windows 用户诸如企业环境,学校和其他公共网络中的用户通常会因为自身需求而共享无需密码的文件夹从而受到攻击。

只不过,Juan Diego 表示他无法详细说明攻击的根本缘由,按理说,在过去已知的攻击中因需要触发漏洞而利用SCF文件,受害者应该拥有访问该文件夹的权限才对。

这种自动发生的攻击其根本原因对我来说依然是个谜,微软方面也对此守口如瓶。

显然,微软提供的补丁并没有真正修复关于SCF 文件的自动执行,Juan Diego 虽然无法给出解释根由但致力于修补一个存在二十年之久、且被称之为 pass-the-hash 的攻击, 它能自动共享 NTLM 哈希与服务器位于用户的外部网络;类似这样的问题在很多针对 Windows 的攻击中都有体现;比如,在今年春季, pass-the-hash 结合 Chrome 与 SCF文件来窃取用户凭据, 且在 2015、16年,pass-the-hash 攻击均有出现过。而Microsoft 提供的修补程序只能够防止攻击者诱使本地用户在本地网络外部的服务器上进行身份验证。

事实上,在 Diego 之前,早在今年3 月份德国研究员Stefan Kanthak 已经向微软报告;报告了类似的为题。

在我报告的6个问题里微软只公布和修复了2个,不得不说微软的效率真的很慢。

Stefan 表示其实有更多的方法能破解 pass-the-hash 攻击。相应的,Diego 也给出支持性回应表示正在研究相关破解方法。

当然,最好最直接的还是不要分享无需密码的文件。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-11-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

从安全漏洞看印度国家银行APP为何“技术落后10年”

2007年的时候,我在印度最大的国有银行中的一家注册了一个账号,这个国家的银行(政府或者民营)普遍所使用的技术与当前水平相比至少落后了10年。 2015年末,我...

22070
来自专栏嵌入式程序猿

制造商代码字段在J1939中的位置你搞懂了吗?

SAE 自推出CAN的高层协议,J1939标准后,在商用车,卡车,舰船,农机等上面应用非常广泛,标准要求每一个节点都有一个8字节的名字域,用来识别,其中有11位...

30140
来自专栏FreeBuf

钓鱼骗局:通过伪造App Store支付链接误导用户

网络犯罪目前又将目标指向苹果用户,他们通过更加成熟的钓鱼手法,引导用户点击一个支付退款链接,由此获取用户个人敏感数据。 钓鱼的前期-引导用户进入“陷阱” 这种新...

23280
来自专栏hadoop学习

Hadoop新手篇:hadoop入门基础教程

关于hadoop的分享此前一直都是零零散散的想到什么就写什么,整体写的比较乱吧。最近可能还算好的吧,毕竟花了两周的时间详细的写完的了hadoop从规划到环境安装...

14340
来自专栏魏艾斯博客www.vpsss.net

Vultr 注册购买图文教程

2.3K30
来自专栏数据和云

DBA生存警示:主备环境误操作案例及防范建议

编辑手记:对于资深的老DBA们,他们在漫长的职业生涯中养成了很多稀奇古怪的守则,以在复杂多变的环境中“幸存”,这源于无数血泪的教训,我曾经在《数据安全警示录》...

37070
来自专栏农夫安全

幕后黑手it’s you?

“ 引言部分,总领全篇文章的中心内容。” 夜降临,忙绿了一天,危险漫步和大家也像往常一样,乘车回家休息。回到家中,像往常一样打开了计算机,浏览着网页,看到一...

33050
来自专栏FreeBuf

钓鱼攻击工具包Angler Exploit Kit已感染超过9w网站

近期,Palo Alto Networks的分析报告显示,Angler Exploit Kit的持续感染已经导致超过90000个网站被攻破,且大多数网站在Ale...

26750
来自专栏魏艾斯博客www.vpsss.net

Siteground注册购买图文教程

Siteground是美国有名的主机商家,经过魏艾斯博客和朋友们几个月的使用,感觉Siteground在稳定性、速度、操作上比较的方便易用,所以写下本文把这个好...

63020
来自专栏FreeBuf

我是如何黑掉英国间谍软件公司Gamma的

前几天,有黑客《入侵了英国间谍软件公司Gamma》。本文翻译自黑客自己公布的入侵指南。详细的介绍了从信息收集,到发现目标站点,以及进行源码审计,绕过waf注入,...

629100

扫码关注云+社区

领取腾讯云代金券