Windows的Kerberos认证系统出现毁灭性漏洞

　　安全研究人员发现Windows的Kerberos认证系统存在一个可称之为“毁灭级”的漏洞。该漏洞无法修复，唯一的解决方案就是使用微软的 Credential Guard 应用程序来防止口令存储在内存。

　　漏洞是由于第三方认证系统建立密钥而引起的，它使用了一个与口令相关的无效用户名(krbtgt)。这个口令很少改变，于是允许攻击者给自己赋予admin权限从而完全绕过系统的认证，同时可以给现有用户和新用户建立秘密口令。

　　尽管一些入口有着时间限制(系统会在20分钟后寻找并确认账户的有效性)，但由于可以无限制的建立虚假用户，因此也就意味着可以持续访问系统。

　　Kerberos是Windows网络、认证客户端和服务器端中的认证协议。去年就曾发现过一个漏洞，可以被攻击者利用危害整个网络，包括安装程序和删除数据。

　　Kerberos或称Cerberus，是希腊神话中的地狱之门守护者，一条有着三个头的巨狗，凶猛无比，但可以用七弦琴的声音让其睡觉。

　　研究人员表示，系统建立密钥是为了避免通过网络认证用户时发送口令。但密钥并没有经过“撒盐”处理并且使用了NTLM哈希，因此相对容易破解。krbtgt这个用户是在系统首次安装时建立的，而且并没有激活，因此可以呆在系统中数年之久而不被触及，但却为黑客留下了一个潜在的入口。研究人员在博客中描述了攻击的一些细节，包括添加新用户、为已有用户增加第二个秘密口令，下载文件等。

　　以上内容就是课课家提醒大家要注意的Windows的Kerberos认证系统出现毁灭性漏洞的详细内容,如果各位朋友还有其他关于windows server的相关问题,请查阅本站的“系统/运营”板块.