安全公告

Microsoft 安全公告974926

集成 Windows 身份验证上的凭据中继攻击

发布时间: 2009 年 12 月 8 日

版本: 1.0

此公告解决了影响使用集成 Windows 身份验证(IWA)处理凭据的攻击的可能性,以及 Microsoft 为客户提供的机制来帮助防范这些攻击。

在这些攻击中,能够在客户端和服务器之间传输时获取用户的身份验证凭据的攻击者能够将这些凭据反映回客户端上运行的服务,或将它们转发到客户端具有有效帐户的另一台服务器。 这将允许攻击者获取对这些资源的访问权限,从而模拟客户端。 由于 IWA 凭据经过哈希处理,因此攻击者无法使用此方法来确定实际的用户名和密码。

根据方案和使用其他攻击途径,攻击者可能能够获取组织安全外围内外的身份验证凭据,并利用它们获取对资源的不当访问。

Microsoft 正在解决这些问题在不同级别的潜在影响,并希望让客户了解为解决这些问题而提供的工具,以及使用这些工具的影响。 此公告包含有关 Microsoft 为改进 IWA 身份验证凭据保护而采取的不同操作的信息,以及客户如何部署这些安全措施。

缓解因素:

  • 为了中继凭据,攻击者需要成功利用另一个漏洞来执行中间人攻击,或使用社会工程说服受害者连接到攻击者控制下的服务器,例如,在恶意电子邮件中发送链接。
  • Internet Explorer 不会使用 HTTP 自动将凭据发送到 Internet 区域中托管的服务器。 这可降低攻击者在此区域中转发或反映凭据的风险。
  • 必须允许入站流量发送到客户端系统,以便反射攻击成功。 最常见的攻击途径是 SMB,因为它允许 IWA 身份验证。 防火墙后面的主机阻止 SMB 流量,或阻止主机防火墙上的 SMB 流量的主机不容易受到针对 SMB 的最常见 NTLM 反射攻击。

常规信息

概述

咨询目的: 阐明 Microsoft 在使用集成 Windows 身份验证(IWA)时扩展用户凭据保护所执行的操作。

公告状态: 已发布公告。

建议: 查看建议的操作并根据需要进行配置。

参考 标识
Microsoft 知识库文章 974926

此公告讨论以下软件。

受影响的软件
Windows XP Service Pack 2 和 Windows XP Service Pack 3
基于 x64 的系统 Service Pack 2 的 Windows XP
Windows Server 2003 Service Pack 2
基于 x64 的系统 Service Pack 2 的 Windows Server 2003
基于 Itanium 的系统 Service Pack 2 的 Windows Server 2003
Windows Vista、Windows Vista Service Pack 1 和 Windows Vista Service Pack 2
Windows Vista x64 版本、Windows Vista x64 Edition Service Pack 1 和 Windows Vista x64 Edition Service Pack 2
适用于 32 位系统的 Windows Server 2008 和 32 位系统 Service Pack 2 的 Windows Server 2008
基于 x64 的系统的 Windows Server 2008 和基于 x64 的系统 Service Pack 2 的 Windows Server 2008
适用于基于 Itanium 的系统的 Windows Server 2008 和基于 Itanium 的系统 Service Pack 2 的 Windows Server 2008
适用于 32 位系统的 Windows 7*
基于 x64 的系统 Windows 7*
适用于基于 x64 的系统的 Windows Server 2008 R2*
适用于基于 Itanium 的 Windows Server 2008 R2 系统*

*Windows 7 和 Windows Server 2008 R2 作为安全支持提供程序接口(SSPI)的功能提供用于身份验证的扩展保护。 如果操作系统或应用程序未配置为支持此功能,则这些操作系统上运行的应用程序仍可能公开给凭据中继。 默认情况下,未启用针对身份验证的扩展保护。

常见问题

公告的范围是什么?
此安全公告提供了 Microsoft 应用于防止凭据中继的策略的综合视图。 它概述了当前可用于全面解决此问题的更新。

造成此威胁的原因是什么?
此公告解决了身份验证中继的可能性。 当攻击者成功获取身份验证凭据(例如通过中间人攻击或说服用户单击链接)时,将发生这些攻击。 此链接可能导致客户端访问攻击者控制的服务,该服务请求用户使用 IWA 进行身份验证。

此公告中引用的凭据中继形式如下:

  • 凭据转发: 攻击者获取的域凭据可用于登录到已知受害者有权访问的其他服务。 然后,攻击者可以获取与目标服务受害者相同的权限。
  • 凭据反射: 攻击者获取的域凭据可用于重新登录到受害者的计算机。 然后,攻击者将获取与受害者相同的计算机上的权限。

为了使这些攻击成功,攻击者要求用户连接到攻击者的服务器。 这可以通过涉及攻击者存在于本地网络上的攻击来实现,例如地址解析协议(ARP)缓存中毒。

当攻击者说服用户连接到组织边界之外的服务器时,这些攻击的影响会增加。 可能允许发生这种情况的特定方案如下所示:

  • DNS 权力下放是 一项 Windows DNS 客户端功能,它允许 Windows DNS 客户端解析单标签非限定主机名的 DNS 查询。 恶意用户可以在组织边界之外注册特定的主机名,如果客户端配置不正确,则在尝试访问该主机名时,客户端可能会无意中联系客户端。
  • DNS 欺骗, 攻击者可以利用 Windows 域名系统(DNS)中的漏洞,从而允许欺骗。 这些攻击可能允许远程攻击者将针对 Internet 上的系统的网络流量重定向到攻击者的系统。
  • NetBIOS 名称服务(NBNS)欺骗,其中用户被诱骗运行专门制作的 Active code 小程序(例如 Java 或 Flash),该小程序将启动本地主机名的查询,随后向具有远程 IP 地址的客户端引入欺骗的 NBNS 响应。 连接到此主机名后,客户端会将此视为本地计算机并尝试 IWA 凭据,从而向远程攻击者公开这些凭据;

Microsoft 发布了多个更新来帮助解决这些方案,此公告旨在总结客户如何最好地评估其特定部署方案中的风险和问题。

什么是集成 Windows 身份验证(IWA)?
使用集成 Windows 身份验证(以前称为 NTLM,也称为 Windows NT 质询/响应身份验证),用户名和密码(凭据)在通过网络发送之前进行哈希处理。 启用集成 Windows 身份验证时,客户端通过与 Web 服务器进行哈希加密交换来证明其密码知识。 集成 Windows 身份验证包括 Negotiate、Kerberos 和 NTLM 身份验证方法。

什么是中间人攻击?
当攻击者通过攻击者的计算机重新路由两个用户之间的通信时,将发生中间人攻击,而不知道这两个通信用户。 攻击者可以在将流量发送到预期收件人之前监视和读取流量。 通信中的每个用户不知情地向攻击者发送流量并接收流量,同时认为他们只与预期方通信。

Microsoft 采取了哪些操作来解决 DNS 欺骗攻击?
Microsoft 发布了以下安全公告,以解决 DNS 欺骗攻击:

  • MS08-037 解决了两个漏洞,攻击者可能会欺骗 DNS 记录并将其插入 DNS 服务器缓存。
  • MS09-008 解决了两个漏洞,这些漏洞可能允许攻击者欺骗 DNS 记录并将其插入 DNS 服务器缓存,以及两个漏洞,这些漏洞可让攻击者恶意注册网络基础结构相关的主机名(WPAD 和 ISATAP),这些漏洞可用于应对进一步的攻击。

Microsoft 采取了哪些行动来解决 NBNS 欺骗攻击?
Microsoft 已与受此漏洞影响的第三方供应商合作,并已针对此攻击途径实施缓解措施。 此问题已在 Adobe Security 公告 APSB08-11 中的 Adobe Flash Player 以及 Sun 警报 103079的 Sun Java 运行时环境中得到解决。

什么是地址解析协议(ARP)缓存中毒?
ARP 缓存中毒是一种攻击,由攻击者的计算机组成,与受害者位于同一子网上,发送欺骗或无端 ARP 响应。 这些客户端通常会尝试混淆客户端认为攻击者是网络上的默认网关,并导致受害者计算机向攻击者发送信息而不是网关。 这种攻击可能会被利用来设置中间人攻击。

什么是传输层安全性(TLS)?
传输层安全性 (TLS) 握手协议负责建立或恢复安全会话所需的身份验证和密钥交换。 建立安全会话时,握手协议将管理以下内容:

  • 密码套件协商
  • 服务器身份验证和客户端(可选)身份验证
  • 会话密钥信息交换

有关详细信息,请参阅 TechNet 文章: TLS/SSL 的工作原理

哪些版本的 Windows 与此公告相关联?
凭据转发和反射会影响能够执行集成 Windows 身份验证的所有平台。 扩展身份验证保护功能包含在 Windows 7 和 Windows Server 2008 R2 中,并在作为 Microsoft 安全公告973811发布的非安全更新中为 Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008 提供。 为了完全保护身份验证凭据,这些操作系统上的特定应用程序仍需要选择加入该机制。 扩展保护功能不适用于 Microsoft Windows 2000 操作系统。

Microsoft 采取了哪些操作来解决凭据反射攻击?
如果应用程序在针对服务进行身份验证时正确利用服务主体名称(SPN),则受凭据反射攻击的保护。

在发布此安全公告之前,Microsoft 发布了以下安全更新,以确保 Windows 组件和 Microsoft 应用程序正确选择加入此机制,以提供针对凭据反射攻击的保护:

  • Microsoft 安全公告 MS08-068 解决了连接到攻击者 SMB 服务器时凭据的反映。
  • Microsoft 安全公告 MS08-076 解决了连接到攻击者的 Windows Media 服务器时凭据的反映。
  • Microsoft 安全公告 MS09-013 使用 WinHTTP 应用程序编程接口连接到攻击者的 Web 服务器时,会反映凭据。
  • Microsoft 安全公告 MS09-014 使用 WinINET 应用程序编程接口连接到攻击者的 Web 服务器时,会反映凭据。
  • Microsoft 安全公告 MS09-042 解决了连接到攻击者的 telnet 服务器时凭据的反映。

Microsoft 采取了哪些操作来解决凭据转发攻击?
Windows 安全支持提供程序接口(SSPI)提供了对凭据转发的一些保护。 此接口在 Windows 7 和 Windows Server 2008 R2 中实现,已作为 Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008 的非安全更新提供。

为了受到保护,需要部署其他非安全更新,以便为特定的客户端和服务器组件和应用程序提供相同的保护。 此功能对客户端和服务器端的身份验证应用更改,应仔细部署。 有关用于身份验证的扩展保护以及为实施此机制而发布的非安全更新的详细信息,请参阅 Microsoft 安全公告973811

这些更新如何解决凭据转发攻击?
SSPI 非安全更新 Microsoft 安全公告973811 修改 SSPI,以便扩展当前的集成 Windows 身份验证 (IWA) 机制,以便身份验证请求可以绑定到客户端尝试连接到的服务器 SPN,以及连接到 IWA 身份验证所通过的外部传输层安全性 (TLS) 通道, 如果存在此类通道,则为 。 这是一个基本更新,它本身无法解决安全漏洞,但将其部署为应用程序供应商可以选择配置的可选功能。

特定于应用程序的非安全更新会修改执行 IWA 身份验证的各个系统组件,以便组件选择加入第 1 层非安全更新实现的保护机制。 有关启用扩展身份验证保护的详细信息,请参阅 Microsoft 安全咨询973811 和相应的 Microsoft 知识库文章973811

Microsoft 采取了哪些操作来解决 DNS 权力下放问题?
DNS 权力下放可用作攻击途径,以利用企业网络外部的此漏洞。 Devolution 是 Windows DNS 客户端功能,Windows DNS 客户端通过该功能解析单标签非限定主机名的 DNS 查询。 通过将主 DNS 后缀(PDS)追加到主机名来构造查询。 通过系统地删除 PDS 中最左侧的标签来重试查询,直到主机名和剩余的 PDS 解析,或者只有两个标签保留在剥离的 PDS 中。 例如,在 western.corp.contoso.co.us 域中查找“单一标签”的 Windows 客户端会逐渐查询 Single-label.western.corp.contoso.co.us、Single-label.corp.contoso.co.us、Single-label.contoso.co.us,然后 Single-label.co.us,直到找到可解析的系统。 此过程称为权力下放。

攻击者可以在组织边界之外托管具有单标签名称的系统,由于 DNS 权力下放可能会成功让 Windows DNS 客户端连接到它,就像它位于组织边界内一样。 例如,如果企业的 DNS 后缀 corp.contoso.co.us 并且尝试解析“单标签”的未限定主机名,则 DNS 解析程序将尝试 Single-Label.corp.contoso.co.us。 如果未找到,它将尝试通过 DNS 权力下放来解决 Single-label.contoso.co.us。 如果未找到,它将尝试解析 Single-label.co.us,该 contoso.co.us 域之外。 此过程称为权力下放。

例如,如果此主机名是 WPAD,则设置 WPAD.co.us 的攻击者可以提供恶意 的 Web 代理自动发现 文件来配置客户端代理设置。

Microsoft 发布了 安全公告971888 和相关更新,以便组织能够更精细地控制 Windows 客户端执行 DNS 权力下放的方式。 此更新允许组织阻止客户端在组织边界外下放。

第三方开发人员可以做些什么来帮助解决凭据中继问题?
第三方开发人员应考虑通过选择加入 Microsoft 安全公告973811中所述的新保护机制来实现扩展身份验证保护。

有关开发人员如何选择加入此机制的详细信息,请参阅 MSDN 文章: 将 Windows 身份验证与扩展保护集成。

什么是服务主体名称(SPN)?
服务主体名称(SPN)是客户端唯一标识服务实例的名称。 如果在整个网络中的计算机上安装服务的多个实例,则每个实例都必须有自己的 SPN。 如果客户端有多个名称可用于身份验证,则给定的服务实例可以有多个 SPN。 例如,SPN 始终包含运行服务实例的主计算机的名称,因此服务实例可能会为其主机的每个名称或别名注册 SPN。

建议的操作

  • 查看Microsoft 安全公告973811用于身份验证的扩展保护,并实现关联的更新
    此安全公告宣布发布实现身份验证扩展保护的非安全更新。 此功能有助于保护身份验证尝试免受中继攻击。
  • 查看Microsoft 安全公告971888 DNS 开发更新
    此安全公告宣布发布可选的非安全更新,使系统管理员能够更具体地配置 DNS 权力下放。
  • 查看与此公告关联的 Microsoft 知识库文章
    有兴趣了解有关此安全公告的详细信息的客户应查看 Microsoft 知识库文章974926
  • 保护电脑
    我们将继续鼓励客户遵循“保护计算机”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 客户可以通过访问 “保护计算机”来了解有关这些步骤的详细信息。
  • 有关在 Internet 上保持安全的详细信息,客户应访问 Microsoft 安全中心
  • 保持Windows 更新
    所有 Windows 用户都应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果不确定软件是否是最新的,请访问Windows 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果启用了自动汇报,则更新会在发布时传送给你,但你必须确保安装它们。

解决方法

存在许多解决方法来帮助保护系统免受凭据反射或凭据转发攻击。 Microsoft 已测试以下解决方法。 尽管这些解决方法不会纠正基础漏洞,但它们有助于阻止已知的攻击途径。 当解决方法减少功能时,将在以下部分中标识它。

阻止防火墙上的 TCP 端口 139 和 445

对于凭据反射攻击,使用中继凭据的入站连接很可能通过 SMB 或 RPC 服务进行。 阻止防火墙上的 TCP 端口 139 和 445 将有助于保护防火墙后面的系统免受攻击此漏洞的尝试。 Microsoft 建议阻止来自 Internet 的所有未经请求的入站通信,以帮助防止可能使用其他端口的攻击。 有关端口的详细信息,请参阅 TCP 和 UDP 端口分配

解决方法的影响: 多个 Windows 服务使用受影响的端口。 阻止与端口的连接可能会导致各种应用程序或服务无法正常工作。 下面列出了一些可能受到影响的应用程序或服务:

  • 使用 SMB 的应用程序(CIFS)
  • 使用 mailslot 或命名管道的应用程序 (基于 SMB 的 RPC)
  • 服务器(文件和打印共享)
  • 组策略
  • Net Logon
  • 分布式文件系统 (DFS)
  • 终端服务器许可
  • 打印后台处理程序
  • 计算机浏览器
  • 远程过程调用定位符
  • 传真服务
  • 索引服务
  • 性能日志和警报
  • 系统管理服务器
  • 许可证日志记录服务

启用 SMB 签名

启用 SMB 签名可防止攻击者在登录用户的上下文中执行代码。 SMB 签名通过将数字签名置于每个 SMB 中来提供相互和消息身份验证,然后由客户端和服务器验证数字签名。 Microsoft 建议使用组策略配置 SMB 签名。

有关使用组策略为 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 启用和禁用 SMB 签名的详细说明,请参阅 Microsoft 知识库文章887429适用于 Windows XP 和 Windows Server 2003 的 Microsoft 知识库文章887429也适用于 Windows Vista 和 Windows Server 2008。

解决方法的影响: 使用 SMB 数据包签名可能会降低文件服务事务的性能。 具有此策略集的计算机不会与未启用客户端数据包签名的计算机通信。 有关 SMB 签名和潜在影响的详细信息,请参阅 Microsoft 网络服务器:数字签名通信(始终)。

其他信息

资源:

免责声明

此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修改:

  • V1.0(2009 年 12 月 8 日):已发布公告。

生成于 2014-04-18T13:49:36Z-07:00