关键的 Windows漏洞使数百万台服务器面临攻击

BaizeSec 安小圈 2024-11-22 00:45

安小圈

第551期

Windows 漏洞

一、事件概述

Kerberos协议最初由麻省理工学院（MIT）在1980年代开发，目的是为了提供一个安全的身份验证机制，特别是在分布式计算环境中。它通过使用密钥分发中心（KDC）和基于凭证的认证机制，确保了用户身份的安全性和网络通信的保密性。从Windows 2000开始，微软在其操作系统中集成了对Kerberos协议的全面支持，使其成为Windows操作系统中实现安全认证和授权的核心机制被广泛使用。近日，微软在其“Patch Tuesday”更新中发布了针对Windows Kerberos认证协议的关键漏洞补丁。该漏洞（CVE-2024-43639）被评为9.8的CVSS严重性评分，表明其对全球数百万服务器构成了极高的安全风险。

二、技术分析

此次发现的是Windows Kerberos认证协议中的一个关键漏洞（CVE-2024-43639），允许未经身份验证的攻击者在受影响的系统上执行远程代码。通过利用这个缺陷，攻击者可以向一个易受攻击的系统发送特别制作的请求，利用Windows Kerberos中的密码协议漏洞获得未经授权的访问权限，并执行任意代码。根据Censys的调查，全球有超过两百万（2,274,340）台暴露的Windows服务器实例，其中1,211,834台可能易受攻击。然而，并非所有这些实例都易受攻击，只有配置为Kerberos KDC代理的服务器才会受到影响。

KDC代理协议服务器是一种允许客户端通过HTTPS安全地与KDC服务器进行通信的机制。这种服务器使用Kerberos协议来处理身份验证和授权，其中UDP/TCP 88端口用于Kerberos认证服务和票据授予服务的交换，而TCP 464端口则用于处理Kerberos密码更改。这些协议通常被设计为在可以直接和可靠访问KDC服务器的网络环境中工作，比如在同一局域网内或者通过VPN连接的远程位置。KDC代理协议服务器的应用场景包括远程桌面网关和DirectAccess等服务，它们使得用户即使在外部网络也能通过HTTPS安全地进行Kerberos认证，从而安全地访问内部网络资源。简而言之，KDC代理协议服务器通过HTTPS为Kerberos协议提供了一个安全的通信桥梁，使得用户可以在不同的网络环境下安全地进行身份验证和访问控制。

三、漏洞详情

CVE ID	CVE-2024-43639	公布时间	2024-11-13
类型	远程代码执行	CVSS	9.8
攻击向量	网络	所需权限	无
攻击复杂度	低	用户交互	不需要
PoC/EXP	未公开	在野利用	未发现