NTLM(新技术局域网管理器)中继攻击滥用远程过程调用(RPC)漏洞

人间疾苦

漏洞显然会影响所有版本的Windows，使攻击者能够将用户权限提升到域管理员，这一切都不需要用户的交互(NTLM中继攻击通常需要用户干预)。

研究人员使用了一个DCOM客户端，该客户端被指示连接到RPC服务器，操作涉及两个NTLM身份验证(其中一个没有设置“标志标志”)，并利用DCOM激活服务可以被滥用来触发RPC身份验证的事实。

袭击背后的想法，哨兵实验室解释，会话0中的shell，即使是低特权用户，再加上触发某些CLSID，也可能允许攻击者从交互连接的用户那里获得“NTLM身份验证”。

攻击的工作方式如下：攻击者在目标计算机上具有会话0中的shell，即使使用低权限帐户；具有高权限(例如域管理)的用户交互登录；
攻击者触发DCOM激活服务以模拟高特权用户；攻击者实现中间人身份以接收经过身份验证的调用；

发生在攻击者控制下的RPC绑定；受害者计算机进行身份验证调用；身份验证被中继到特权资源(如LDAP、SMB、HTTP或其他资源)；身份验证被转发以进行权限升级

hmyroot

又是那个远程桌面漏洞？