這些漏洞讓攻擊者可破解口令獲取Windows憑證。

[[197256]]

行為防火墻專家Preempt公司的安全研究人員，在微軟 Windows NTLM(NT局域網管理器)安全協議中發現兩個關鍵安全漏洞，一旦被利用，可使攻擊者破解口令，獲得目標網絡憑證。

第一個漏洞(CVE-2017-8563)存在于NTLM中繼的LDAP(輕量級目錄訪問協議)中，第二個漏洞則針對廣泛使用的遠程桌面協議(RDP)受限管理模式。

Preempt共同創始人兼CEO阿基特·桑切蒂稱：“威脅態勢持續發展，凸顯出現有安全協議中存在的漏洞，這2個漏洞也沒什么不同。NTLM讓公司企業和個人處于憑證轉發和口令破解的風險之下，最終，闡明了為什么公司企業必須保持警惕，并確保其部署始終是安全的——尤其是在使用NTLM這種遺留協議的時候。”

Windows系統中，LDAP保護用戶不受憑證轉發和中間人攻擊的侵害，但由于該漏洞的存在，LDAP不再能防護住憑證轉發。因此，攻擊者可借此創建域管理員賬戶，取得對被攻擊網絡的完全控制權。

至于RDP，只要是Windows用戶，基本都知道其用途：不用交出自己的口令就能連接可能被黑的遠程主機。于是，利用NTLM所做的每一個攻擊，比如憑證中繼和口令破解，都可以對RDP受限管理模式進行。

Preempt通告了微軟這2個漏洞的情況，針對第一個漏洞的補丁已放出，而第二個漏洞則是微軟已確知的問題。

建議訪問Preempt官方博客(https://blog.preempt.com/new-ldap-rdp-relay-vulnerabilities-in-ntlm)以獲取更多技術細節。

由于系統中不時發現關鍵安全漏洞，Windows操作系統要為80%的惡意軟件感染負責是一個確定的事實。今年5月襲擊了全球100多個國家的WannaCry勒索軟件，也是Windows系統中SMB(服務器消息塊)協議漏洞所致。