網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)微軟Telnet服務(wù)器存在嚴(yán)重漏洞，遠(yuǎn)程攻擊者無需有效憑證即可完全繞過認(rèn)證機(jī)制，獲取管理員權(quán)限。根據(jù)Hacker Fantastic發(fā)布的報告，該漏洞涉及微軟Telnet認(rèn)證協(xié)議(MS-TNAP)，對傳統(tǒng)Windows系統(tǒng)構(gòu)成重大安全威脅，且目前尚無官方補(bǔ)丁。

報告指出："微軟Telnet服務(wù)器中存在一個關(guān)鍵的0點(diǎn)擊遠(yuǎn)程認(rèn)證繞過漏洞，攻擊者無需有效憑證即可獲得包括管理員在內(nèi)的任意用戶訪問權(quán)限"。該漏洞源于Telnet服務(wù)器處理NTLM（NT LAN Manager）認(rèn)證流程時的配置錯誤。

受影響系統(tǒng)范圍

該漏洞影響以下廣泛使用的微軟操作系統(tǒng)版本：

• Windows 2000
• Windows XP
• Windows Server 2003
• Windows Vista
• Windows Server 2008
• Windows 7
• Windows Server 2008 R2

漏洞技術(shù)原理

漏洞成因在于Telnet服務(wù)器錯誤地初始化NTLM認(rèn)證憑據(jù)并錯誤處理雙向認(rèn)證。具體表現(xiàn)為服務(wù)器在認(rèn)證握手階段設(shè)置了存在缺陷的SSPI（安全支持提供程序接口）標(biāo)志：

報告解釋稱："服務(wù)器使用SECPKG_CRED_BOTH標(biāo)志初始化NTLM安全機(jī)制"，并且"調(diào)用AcceptSecurityContext()函數(shù)時啟用了ASC_REQ_DELEGATE和ASC_REQ_MUTUAL_AUTH標(biāo)志"。

這種錯誤配置導(dǎo)致認(rèn)證關(guān)系出現(xiàn)危險逆轉(zhuǎn)——服務(wù)器反而向客戶端證明自身身份，而非驗(yàn)證客戶端身份。

漏洞利用過程

Hacker Fantastic發(fā)布的概念驗(yàn)證(PoC)利用程序通過以下步驟實(shí)施攻擊：

• 使用特定標(biāo)志請求雙向認(rèn)證
• 為目標(biāo)管理員賬戶使用NULL空密碼
• 操縱SSPI標(biāo)志觸發(fā)服務(wù)器認(rèn)證邏輯缺陷
• 發(fā)送經(jīng)過篡改的NTLM Type 3類型消息欺騙服務(wù)器
• 最終完全繞過認(rèn)證，開啟具有管理員權(quán)限的Telnet會話

報告強(qiáng)調(diào)："攻擊者可通過發(fā)送雙向認(rèn)證數(shù)據(jù)包并利用SSPI配置繞過服務(wù)端認(rèn)證，從而獲取主機(jī)上任意賬戶的訪問權(quán)限"

已發(fā)布的PoC工具**telnetbypass.exe**針對本地主機(jī)或域內(nèi)主機(jī)，要求目標(biāo)系統(tǒng)Telnet Server服務(wù)處于運(yùn)行狀態(tài)。

緩解措施建議

令人擔(dān)憂的是，"目前該漏洞尚無補(bǔ)丁"。建議相關(guān)組織立即采取以下防護(hù)措施：

• 禁用所有系統(tǒng)上的Telnet Server服務(wù)
• 采用SSH等更安全的遠(yuǎn)程管理方案替代Telnet
• 實(shí)施網(wǎng)絡(luò)層過濾，僅允許可信IP和網(wǎng)絡(luò)訪問Telnet服務(wù)
• 應(yīng)用控制策略阻止未經(jīng)授權(quán)的Telnet客戶端連接

值得注意的是，為降低大規(guī)模利用風(fēng)險，"該漏洞利用的源代碼暫未公開"，目前僅向公眾發(fā)布了二進(jìn)制格式的PoC程序。