MS14-068权限提升漏洞

漏洞介绍

Kerberos 是 Microsoft Windows 域环境中使用的一种身份验证协议。Kerberos KDC 是负责管理 Kerberos 服务票证的服务。

MS14-068 漏洞存在于 Kerberos KDC 的签名验证逻辑中。该漏洞允许攻击者在 NTLM 身份验证消息中注入恶意数据，绕过签名验证并以域管理员的身份登录到域控制器。

影响范围

MS14-068 漏洞影响 Windows 7 SP1 到 Windows 10 1607 的所有版本，以及 Windows Server 2008 R2 SP1 到 Windows Server 2012 R2 的所有版本。

利用方式

MS14-068 漏洞可以通过以下方式利用：

1. 攻击者在域内获得一个普通用户的身份。

2. 攻击者使用该用户身份连接到域控制器。

3. 攻击者使用工具修改 NTLM 身份验证消息中的签名。

4. 攻击者使用工具将修改后的身份验证消息中继到域控制器。

详细利用手法

1. 获得普通用户身份

攻击者可以通过以下方式获得普通用户身份：

• 通过钓鱼攻击或社会工程学手段获取用户的凭据。

• 利用已知的漏洞或配置错误，获取用户的凭据。

例如，攻击者可以发送一个包含恶意链接的电子邮件给目标用户。当目标用户点击链接时，会被重定向到一个恶意网站。该网站会要求目标用户输入用户名和密码。攻击者可以通过该网站获取目标用户的凭据。

2. 连接到域控制器

攻击者可以使用任何经过身份验证的域成员来连接到域控制器。攻击者可以使用以下工具来连接到域控制器：

• nmap

• netcat

• telnet

以下命令将连接到域控制器的 445 端口：

3. 修改 NTLM 身份验证消息中的签名

攻击者可以使用以下工具来修改 NTLM 身份验证消息中的签名：

• mimikatz

mimikatz 是一个用于提取和重放 Windows 凭据的工具。攻击者可以使用 mimikatz 来修改 NTLM 身份验证消息中的签名。

以下命令将修改 NTLM 身份验证消息中的签名：

4. 将修改后的身份验证消息中继到域控制器

攻击者可以使用以下工具将修改后的身份验证消息中继到域控制器：

• mimikatz

mimikatz 可以用于将修改后的身份验证消息中继到域控制器。

以下命令将将修改后的身份验证消息中继到域控制器：

利用效果

如果攻击者成功利用 MS14-068 漏洞，攻击者将以域管理员的身份登录到域控制器。攻击者可以使用域管理员权限执行任意操作，包括：

• 创建、修改或删除用户和组。

• 安装或卸载软件。

• 修改系统配置。

• 访问敏感数据。

防御措施

微软已发布补丁修复了 MS14-068 漏洞。建议用户尽快安装补丁。补丁可从 Microsoft 网站下载。

启用强制 SMB 签名

启用强制 SMB 签名可以防止攻击者利用漏洞在 SMB 会话中注入恶意数据。

要启用强制 SMB 签名，请按照以下步骤操作：

1. 打开 Windows 控制面板。

2. 单击“系统和安全”。

3. 单击“Windows 防火墙”。

4. 在左窗格中，单击“高级设置”。

5. 在右窗格中，单击“入站规则”。

6. 在“入站规则”窗口中，单击“新建规则”。

7. 在“新建规则向导”窗口中，选择“端口”选项卡。

8. 在“协议”列表中，选择“SMB”。

9. 在“本地端口”列表中，输入“445”。

10. 在“操作”列表中，选择“允许连接”。

11. 在“应用到”列表中，选择“所有网络”。

12. 单击“下一步”。

13. 在“名称和描述”页面中，输入规则名称和描述。

14. 单击“完成”。

使用网络隔离

使用网络隔离可以将域控制器与其他网络隔离开来，降低攻击者利用漏洞的风险。

要使用网络隔离，请按照以下步骤操作：

1. 使用防火墙将域控制器与其他网络隔离开来。

2. 仅允许授权用户访问域控制器。

使用多因素身份验证

使用多因素身份验证可以提高域控制器的安全性，降低攻击者利用漏洞的成功率。

多因素身份验证要求用户提供多个身份验证因素，例如用户名、密码和动态令牌。

要使用多因素身份验证，请按照以下步骤操作：

1. 在域控制器上安装多因素身份验证服务器。

2. 配置域控制器使用多因素身份验证。

3. 为域用户启用多因素身份验证。

定期进行安全审计

定期进行安全审计可以帮助发现系统中的漏洞和配置错误，降低攻击者利用漏洞的成功率。

安全审计可以包括以下内容：

• 系统配置审计

• 软件漏洞扫描

• 网络安全审计

用户可以聘请专业的安全公司进行安全审计，也可以自己进行安全审计。