日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

安全研究人員發(fā)現(xiàn)Windows的Kerberos認證系統(tǒng)存在一個可稱之為“毀滅級”的漏洞。該漏洞無法修復，唯一的解決方案就是使用微軟的 Credential Guard 應用程序來防止口令存儲在內(nèi)存。

創(chuàng)新互聯(lián)專注于五蓮企業(yè)網(wǎng)站建設(shè),響應式網(wǎng)站,商城網(wǎng)站開發(fā)。五蓮網(wǎng)站建設(shè)公司,為五蓮等地區(qū)提供建站服務。全流程按需求定制制作，專業(yè)設(shè)計，全程項目跟蹤，創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務

漏洞是由于第三方認證系統(tǒng)建立密鑰而引起的，它使用了一個與口令相關(guān)的無效用戶名(krbtgt)。這個口令很少改變，于是允許攻擊者給自己賦予admin權(quán)限從而完全繞過系統(tǒng)的認證，同時可以給現(xiàn)有用戶和新用戶建立秘密口令。

盡管一些入口有著時間限制(系統(tǒng)會在20分鐘后尋找并確認賬戶的有效性)，但由于可以無限制的建立虛假用戶，因此也就意味著可以持續(xù)訪問系統(tǒng)。

Kerberos是Windows網(wǎng)絡、認證客戶端和服務器端中的認證協(xié)議。去年就曾發(fā)現(xiàn)過一個漏洞，可以被攻擊者利用危害整個網(wǎng)絡，包括安裝程序和刪除數(shù)據(jù)。

Kerberos或稱Cerberus，是希臘神話中的地獄之門守護者，一條有著三個頭的巨狗，兇猛無比，但可以用七弦琴的聲音讓其睡覺。

研究人員表示，系統(tǒng)建立密鑰是為了避免通過網(wǎng)絡認證用戶時發(fā)送口令。但密鑰并沒有經(jīng)過“撒鹽”處理并且使用了NTLM哈希，因此相對容易破解。krbtgt這個用戶是在系統(tǒng)首次安裝時建立的，而且并沒有激活，因此可以呆在系統(tǒng)中數(shù)年之久而不被觸及，但卻為黑客留下了一個潛在的入口。研究人員在博客中描述了攻擊的一些細節(jié)，包括添加新用戶、為已有用戶增加第二個秘密口令，下載文件等。

微軟目前尚未對此漏洞發(fā)表回應。

漏洞詳細描述地址：

http://dfir-blog.com/2015/12/13/protecting-windows-networks-kerberos-attacks/

名稱欄目：三頭狗又來了Windows再現(xiàn)毀滅級漏洞
文章URL：http://m.5511xx.com/article/dpcsdds.html