近日,作为国内知名度、权威性较高、规模较大的信息安全会议,XCon 2022安全焦点信息安全技术峰会于北京望京昆泰酒店圆满举办。XCon持续致力于国内安全技术交流氛围的营造,架设国际间技术交流与合作的纽带,同时也是业界内安全从业者的饕餮盛宴。
此次峰会为大家带来10场主会闭门演讲,领略前沿技术动向。值得关注的是本次的XReward路演区,13家活力厂商开放路演,碰撞极致思维脑洞。与顶尖技术大牛切磋的同时,领略尖端科技,纵享领域内新鲜研究成果。
作为国内专业身份威胁(ITDR)安全方案提供商,中安网星高级安全专家李帅臻出席本届XCon峰会分会场XReward,并为大家带来深度的议题分享《从NTLM Relay看Windows RPC攻击面》,为现场参会者带来了一场高质量、高纯度的技术风暴。
目前,NTLM Relay更多的利用场景是在AD域环境下的攻防,Relay的攻击是目前AD域全补丁情况下的一种主流的攻击手法,可以在补丁齐全、所有漏洞都修复的情况下获取到域控的权限。
本次分享主要分为三部分,第一部分带大家了解NTLM Relay在实战中的利用、第二部分主要分享一些RPC的相关知识,最后为大家介绍了来自最新的Windows RPC相关漏洞的挖掘与利用。
议题的开始从NTLM Relay切入,首先对Printbug、PetitPotam的漏洞原理及利用过程进行分析,讲解了目前全补丁环境下针对AD域的主流攻击手法——NTLM Relay。
第二部分通过详细讲解RPC的工作原理和利用场景,介绍了RPC在Windows中的一些利用场景,及攻击者如何利用Windows RPC进行传统攻击的杀软绕过等操作。
随着国内外对于RPC研究逐渐深入,大家一致认为Windows RPC的攻击面、发掘潜力巨大,逐渐成为了国内外针对windows漏洞挖掘的研究重点。同时详细讲解了如何编写程序对RPC进行调用以及对函数、参数的FUZZ和研究。
最后讲解了针对RPC漏洞的挖掘,中安网星安全团队发现的一些新的攻击面,包括远程文件上传等。
第三部分,结合RPC相关的知识,围绕CVE-2022-30216展开具体分析,CVE-2022-30216漏洞为微软在7月12日公布的一个新的安全漏洞,该漏洞为Smb-Over-Quic功能下Windows Server服务RPC安全回调逻辑的相关漏洞,此次演讲详细分析了Windows历史版本安全回调的相关实现及Windows11/Windows Server2022版本下安全回调逻辑的相关实现,并结合第二部分RPC漏洞分析与调试的相关知识,分析了CVE-2022-30216漏洞的调试与武器化利用的过程。
中安网星安全团队致力于对身份威胁以及Windows AD域相关的研究,针对CVE-2022-30216漏洞,智域目录安全平台已在第一时间支持攻击检测,目前智域目录安全平台支持包括新漏洞在内的所有AD域攻击手法的检测,覆盖AD域攻击的全生命周期。
