内网渗透(八十二)之 CVE-2019-1040 NTLM MIC 绕过漏洞

CVE-2019-1040 NTLM MIC 绕过漏洞

漏洞背景

2019年6月11日，微软发布6月份安全补丁更新。在该安全补丁更新中，对 CVE-2019-1040 漏洞进行了修复。该漏洞存在于Windwos 大部分版本中，当中间人攻击者能够成功绕过NTLM 消息完整性校验（MIC）时，Windows 存在可能可篡改的漏洞。成功利用此漏洞的攻击者可以获得降级 NTLM 安全功能的能力。要利用此漏洞，攻击者需要篡改NTLM 交换，然后修改NTLM 数据包的标志，而不会使签名无效。结合其他漏洞和机制，在某些场景下，攻击者可以在仅有一个普通账户域账户的情况下接管全域。

漏洞原理

该漏洞关键之处在于安全研究员能绕过NTLM消息完整性的校验，那么安全研究员是如何实现的呢?

由于Windwos 服务器允许无消息完整性校验的NTLM Authenticate 消息，因此该漏洞绕过消息完整性校验的思路是取消数据包中的 MIC 标志，操作如下：

• 从NTLM Authenticate消息中删除MIC字段和Version字段，如图所示：

• 将 Negotiate Version 标志位设置为Not set，如图所示：