安全研究人员近日在微软的Windows密钥分发中心(KDC)代理中发现了一个严重的远程代码执行漏洞(CVE-2024-43639),攻击者可能利用该漏洞完全控制受影响的服务器。该漏洞源于KDC代理服务中缺乏对Kerberos响应长度的检查,导致整数溢出,从而使得未经身份验证的远程攻击者能够以目标服务的权限执行任意代码,可能导致系统完全沦陷。
漏洞背景
该漏洞由昆仑实验室与Cyber KunLun的安全研究人员联合发现,主要存在于KDC代理服务器服务(KDCSVC)中。KDCSVC通过HTTPS代理Kerberos流量,为远程工作负载提供Kerberos身份验证功能。研究人员分析指出,漏洞的核心问题在于对Kerberos响应长度的不当处理,缺乏必要的验证检查,导致攻击者可通过精心构造的响应触发内存损坏,进而执行任意代码。
Kerberos是Windows环境中关键的身份验证协议,广泛应用于Active Directory域中。当远程客户端需要身份验证但无法直接连接到域控制器时,KDC代理便会作为中间件,通过HTTPS转发身份验证请求。这一功能尤其适用于RDP网关和DirectAccess等服务。
漏洞利用的技术细节
攻击者通过控制一个服务器并返回精心构造的Kerberos响应,利用KpsSocketRecvDataIoCompletion()函数未对响应长度进行验证的缺陷触发整数溢出。漏洞在ASN.1编码过程中导致内存分配或重新分配失败,从而引发内存损坏。攻击者甚至可以绕过现有的验证机制,直接进入易受攻击的代码路径。
影响范围与风险
该漏洞仅影响明确配置为KDC代理服务器的系统,不影响域控制器。然而,对于依赖KDC代理的远程认证服务(如RDP网关和DirectAccess)环境来说,攻击者无需身份验证即可利用漏洞,后果可能极为严重。尽管截至2025年3月4日尚未发现相关攻击,但详细技术信息的披露增加了未来被利用的可能性。
缓解措施与修复建议
微软已在2024年11月的安全更新中修复该漏洞,对KDC代理服务器服务中的响应长度添加了验证检查。建议运行KDC代理的机构立即应用该补丁。若无法立即修补,可考虑暂时禁用KDC代理服务,尽管这可能会影响企业网络外部用户的远程认证能力。此外,安全团队还应监控TCP端口88的流量,检测潜在的可疑活动。
