安全研究人員近日在微軟的Windows密鑰分發中心（KDC）代理中發現了一個嚴重的遠程代碼執行漏洞（CVE-2024-43639），攻擊者可能利用該漏洞完全控制受影響的服務器。該漏洞源于KDC代理服務中缺乏對Kerberos響應長度的檢查，導致整數溢出，從而使得未經身份驗證的遠程攻擊者能夠以目標服務的權限執行任意代碼，可能導致系統完全淪陷。

漏洞背景

該漏洞由昆侖實驗室與Cyber KunLun的安全研究人員聯合發現，主要存在于KDC代理服務器服務（KDCSVC）中。KDCSVC通過HTTPS代理Kerberos流量，為遠程工作負載提供Kerberos身份驗證功能。研究人員分析指出，漏洞的核心問題在于對Kerberos響應長度的不當處理，缺乏必要的驗證檢查，導致攻擊者可通過精心構造的響應觸發內存損壞，進而執行任意代碼。

Kerberos是Windows環境中關鍵的身份驗證協議，廣泛應用于Active Directory域中。當遠程客戶端需要身份驗證但無法直接連接到域控制器時，KDC代理便會作為中間件，通過HTTPS轉發身份驗證請求。這一功能尤其適用于RDP網關和DirectAccess等服務。

漏洞利用的技術細節

攻擊者通過控制一個服務器并返回精心構造的Kerberos響應，利用KpsSocketRecvDataIoCompletion()函數未對響應長度進行驗證的缺陷觸發整數溢出。漏洞在ASN.1編碼過程中導致內存分配或重新分配失敗，從而引發內存損壞。攻擊者甚至可以繞過現有的驗證機制，直接進入易受攻擊的代碼路徑。

影響范圍與風險

該漏洞僅影響明確配置為KDC代理服務器的系統，不影響域控制器。然而，對于依賴KDC代理的遠程認證服務（如RDP網關和DirectAccess）環境來說，攻擊者無需身份驗證即可利用漏洞，后果可能極為嚴重。盡管截至2025年3月4日尚未發現相關攻擊，但詳細技術信息的披露增加了未來被利用的可能性。

緩解措施與修復建議

微軟已在2024年11月的安全更新中修復該漏洞，對KDC代理服務器服務中的響應長度添加了驗證檢查。建議運行KDC代理的機構立即應用該補丁。若無法立即修補，可考慮暫時禁用KDC代理服務，盡管這可能會影響企業網絡外部用戶的遠程認證能力。此外，安全團隊還應監控TCP端口88的流量，檢測潛在的可疑活動。