点击上面的蓝色字 即可免费订阅！

微信名 （微信号：请填写您的微信号）

今天凌晨，微软紧急修复了Kerberos（网络认证协议）的高危漏洞cve-2014-6324。利用此漏洞，域内任何用户都可将自己提升到域内任意其他用户权限，包括域管理员！

Kerberos一词源于希腊神话“三头狗——地狱之门守护者”，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。Windows 2000和后续的操作系统都使用Kerberos为其默认的认证方法。Kerberos的漏洞却是为黑客打开了在企业网络域内任意穿梭的大门，并已被黑客用于APT攻击中。此漏洞对企业杀伤力极大，建议网络管理员尽快修复。

微软安全公告显示，Kerberos漏洞主要影响Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012和Windows Server 2012 R2等服务器操作系统。目前已知的黑客攻击是针对Windows Server 2008 R2及以下版本，2012及以上版本也受漏洞影响，但相对较难利用。

【安全问答】

问：攻击者利用漏洞做什么？

答：攻击者可以利用此漏洞将非特权域用户帐户提升为域管理员帐户权限，攻击者可模仿域内任意用户，包括域管理员，并加入任何组。通过冒充域管理员，攻击者可以安装程序；查看、更改或删除数据；或在任意domain-joined系统上创建新帐户。

问：攻击者如何利用这个安全漏洞?

答：一个经过验证的域用户可以把伪造的Kerberos票据冒充为用户域管理员，发送给Kerberos KDC。Kerberos KDC对验证伪造的票据签名存在漏洞，允许攻击者以域管理员的身份访问网络上的任何资源。

问：主要的风险存在于什么系统？

答：域控制器被配置作为Kerberos密钥分发中心(KDC)会处于危险之中。