NTLM安全功能绕过漏洞CVE-2021-1678

　　Microsoft在2021年1月12日宣布了漏洞CVE-2021-1(NTLM安全功能绕过漏洞)。网络堆栈中存在一个漏洞，攻击者可以利用该漏洞绕过NTLM安全功能。但是，Microsoft没有透露太多细节，只是用户必须协助进行攻击才能执行它。因此，CVSS值仅为3.0 4.3 / 3.8。

　　对于通过Windows Server 2012 R2进行的Windows Server 2008，有一些安全更新(日期为2021年1月12日)可以关闭此漏洞。对于Windows Server 2008 / R2，请注意，如果预订了ESU支持扩展，则这些计算机将仅收到安全更新。

　　披露的漏洞详细信息

　　《黑客新闻》从上述事实中总结并在此报道，Crowdstrike的安全研究人员已经披露了有关该漏洞的更多详细信息。为此，对Microsoft的补丁程序进行了反向分析。在寻找不需要任何形式的程序包安全性的易受攻击的RPC接口时，安全研究人员发现了一个有趣的易受攻击的接口：IRemoteWinspool，用于远程管理打印机后台处理程序的RPC接口。

　　安全研究人员正在寻找一种通过NTLM中继的方法，该方法可以从具有足够特权的用户帐户中使用NTLM会话来执行一系列RPC操作，以实现所需的效果。看来安全研究人员已经成功。他们写道：如果未修补此漏洞，则攻击者可以通过NTLM中继尝试进行远程代码执行攻击。可以在Crowdstrik安全公告：安全公告：MSRPC打印机后台处理程序中继(CVE-2021-1678)中找到详细信息 。因此，如果运行的是上述服务器之一，则应立即安装2021年1月的安全更新。