微软安全公告 MS15-011「组策略漏洞导致远程代码执行」适用指南(仅限Active Directory环境用户)
本博客文章已发布超过一年。以下信息可能已过时。
2015年2月11日发布的微软安全公告MS15-011「组策略漏洞导致远程代码执行」要求在应用安全更新程序后,对Active Directory的组策略进行配置变更。本文为Active Directory环境用户提供漏洞详情、攻击场景、修复内容及操作步骤的概述。详细操作步骤请参考支持技术文档(KB3000483)。(非Active Directory环境用户无需任何操作。使用Windows Update/WSUS的用户仅限Active Directory域环境终端提供安全更新程序)
Active Directory环境用户请务必参考本资料,尽快应用安全更新程序并进行必要的变更操作。
目标环境
- Active Directory环境用户(安全公告MS15-011仅影响Active Directory环境)
- Active Directory环境中所有受支持版本的Windows Server 2003*、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2及Windows RT 8.1 *Windows Server 2003受漏洞影响但不提供更新程序。因为Windows Server 2003系统缺乏支持更新程序修复的适当架构,无法为Windows Server 2003创建修复程序。 Server Core安装受影响。
概要
域加入系统在连接域控制器时,组策略接收和应用策略数据的方式存在远程代码执行漏洞。攻击者需诱使目标用户连接其控制的网络才能利用此漏洞。
安全更新程序通过改进域配置系统连接域控制器的方式,在组策略接受配置数据前进行验证,从而解决此漏洞。
此漏洞在安全公告发布时未公开披露,且无公开利用报告。
预期攻击方式
攻击者诱使域加入系统用户连接其控制的网络。用户连接后,攻击者可拦截通信并转发至自身。当受害者系统尝试获取组策略所需文件时,会下载并执行攻击者准备的恶意脚本。
(例)域加入终端连接被攻击者劫持的公共WiFi时 (例)域加入终端连接被攻击者劫持的网络设备时
预期损害
攻击者可利用此漏洞在受影响计算机上执行恶意代码。
(例)攻击者在受害者系统上执行任意脚本,将系统文件外传 (例)攻击者在受害者系统上执行任意脚本,下载其他恶意软件(恶意软件)
修复概要
应用MS15-011提供的安全更新程序可实现新功能UNC强化访问(UNC Hardened Access),保护UNC(通用命名约定)文件访问免受恶意攻击。
新功能UNC强化访问在UNC文件访问中,除服务器端常规凭据验证和访问权限检查外,提供额外安全检查。可防止访问非法服务器、防篡改等,抵御恶意攻击。
应用安全更新程序后,通过配置新功能UNC强化访问保护组策略应用时所需的文件访问,可防御组策略应用时的通信拦截和篡改等恶意攻击,解决漏洞。
*UNC(通用命名约定):Windows访问文件和资源时使用的表示形式。格式为\<主机名><共享名><对象名>。
必要操作
① 应用安全更新程序
将MS15-011提供的安全更新程序KB3000483应用于域环境中所有终端。需应用于域控制器、域成员服务器、域客户端等所有终端。
补充:此更新程序还会安装微软安全顾问3004375提供的新功能。该新功能与Windows命令行进程创建审核策略相关,但与此安全公告描述的漏洞无关。
② 配置Active Directory组策略
在域应用的组策略中配置以下策略:
[计算机配置] - [策略] - [管理模板] - [网络] - [网络提供程序] - [强化的UNC路径]
| 值名称 | 值 |
|---|---|
| \\NETLOGON | RequireMutualAuthentication=1, RequireIntegrity=1 |
| \\SYSVOL | RequireMutualAuthentication=1, RequireIntegrity=1 |
注意
- 上述输入值为域加入计算机的推荐最小配置。此配置建议所有NETLOGON和SYSVOL共享需相互认证和完整性,以防御远程代码执行所需的冒充和篡改攻击。
- RequirePrivacy(SMB通信加密)仅Windows 8/Windows Server 2012间实现。服务器或客户端为更早OS时无法进行加密SMB通信。域内所有计算机非Windows 8/Windows Server 2012环境时不得启用此设置。因此推荐最小配置不包含RequirePrivacy。
- 推荐设置应用于Windows Server 2003的组策略时也无问题。
- 详细步骤及输入值说明请参考支持技术文档(KB3000483)。
操作注意事项
- 在生产环境操作前,务必在验证环境中充分验证,确认无环境特定问题。
- 为防意外故障,操作前务必备份,并确认故障恢复步骤。
- 本次操作中设置错误可能导致无法访问SYSVOL共享,无法获取策略设置。此时可能无法通过组策略分发修正设置。请仔细确认策略设置步骤,避免错误。
参考信息
- 微软安全公告MS15-011 组策略漏洞导致远程代码执行
- 支持技术文档KB 3000483 [MS15-011] 组策略漏洞导致远程代码执行(2015年2月10日)
- Microsoft Security Research and Defense官方博客(英文)MS15-011 & MS15-014: Hardening Group Policy