通報(bào)：Windows域環(huán)境存在遠(yuǎn)程代碼執(zhí)行風(fēng)險(xiǎn)

雷鋒網(wǎng)3月8日消息，北京網(wǎng)絡(luò)與信息安全信息通報(bào)中心發(fā)布消息稱，Windows域環(huán)境存在遠(yuǎn)程代碼執(zhí)行隱患風(fēng)險(xiǎn)，漏洞可導(dǎo)致任意計(jì)算機(jī)設(shè)備被攻擊者控制。

研究人員稱，攻擊者在已經(jīng)進(jìn)入了目標(biāo)內(nèi)網(wǎng)環(huán)境并控制了任意一臺(tái)機(jī)器后，可以發(fā)動(dòng)此攻擊方案來攻擊同一廣播域內(nèi)的其他加入了Windows域的機(jī)器。攻擊發(fā)動(dòng)后，生效時(shí)間與被攻擊主機(jī)的配置有關(guān)，可能很快生效，也有可能需要更長時(shí)間。

此次攻擊涉及到Windoes2012及更高版本系統(tǒng)做域控制器的Windows域環(huán)境。目前，安全研究人員已經(jīng)公開多個(gè)Windows特性進(jìn)行了串聯(lián)，在一定條件下實(shí)現(xiàn)了直接控制域內(nèi)任何主機(jī)攻擊效果。

針對(duì)此次攻擊，安全機(jī)構(gòu)建議做好以下防護(hù)措施：

1、在所有域控制器上打開強(qiáng)制LDAP簽名與LDAPS Channel Binding 功能

2、將域內(nèi)含有敏感權(quán)限的用戶加入ProtectedUsers組的介紹

3、將域內(nèi)含有敏感權(quán)限的用戶設(shè)置為“敏感賬戶，不能被委派”

4、如環(huán)境內(nèi)沒有用到WPAD，可通過下發(fā)域策略禁用域內(nèi)主機(jī)的WinHttpAutoProxySvc服務(wù)；如環(huán)境內(nèi)沒有用到IPV6，可通過主機(jī)防火墻或在網(wǎng)絡(luò)層面限制網(wǎng)絡(luò)中的DHCPv6流量

5、對(duì)自己的信息系統(tǒng)開展自查，對(duì)重要的數(shù)據(jù)、文件進(jìn)行定期備份

參考來源：北京網(wǎng)絡(luò)與信息安全信息通報(bào)中心；安白百科技

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。