每天,微软安全响应中心(MSRC)都会收到来自安全研究人员、技术/行业合作伙伴和客户的漏洞报告。我们重视这些报告,因为它们能帮助我们提升产品和服务的安防水平。包含概念验证、攻击细节或漏洞演示的高质量报告极具行动价值。如果您提交过这类报告,我们深表感谢!
客户常委托渗透测试人员评估其部署环境并生成报告。这些报告能帮助客户发现并修正部署中的安全风险。但需要注意的是,渗透测试结果必须结合客户的组策略对象、现有缓解措施及检测工具来综合评估。我们收到的渗透测试报告通常仅声明产品存在漏洞,却未提供具体的攻击向量或漏洞利用演示。实际上,许多安全风险可通过现有缓解措施解决,无需修改产品代码。
以Lync Server 2013的渗透测试报告为例,该报告未提及现有缓解措施:
案例:部署环境存在暴力破解风险?
某客户部署了支持拨入功能的Lync Server 2013,包含多个允许用户加入/安排会议的Web端点。渗透测试报告指出"可通过Lync实例进行密码暴力破解"。
技术细节分析: Lync Server 2013使用特定Web端点进行表单认证。若这些端点配置不当,攻击者可能通过以下SOAP服务与Active Directory交互:
|
|
该服务调用LogonUserW API进行AD认证。当认证端点暴露时,确实存在暴力破解风险。
现有缓解方案: 在启用账户锁定策略的环境中,此类攻击仅会导致目标用户遭遇临时拒绝服务(DoS),而非账户沦陷。虽然影响用户体验,但相比账户失窃危害更小。
深度防御方案:
-
强化密码策略 采用强密码策略可有效防御常见密码字典攻击。微软密码指南提供基于Azure云防护经验的研究成果:https://www.microsoft.com/en-us/research/publication/password-guidance/
-
实施账户锁定策略 账户锁定机制可增加攻击时间成本,同时提升异常登录的可观测性。技术细节参见:https://blogs.technet.microsoft.com/secguide/2014/08/13/configuring-account-lockout/
-
记录访问尝试 通过防火墙层的Web应用过滤或速率限制,可降低单IP暴力破解成功率。丢弃异常登录数据包能有效阻断特定IP范围的攻击。
-
审计账户登录事件 在认证服务器上启用组策略审计功能,可监控密码猜测行为。AD环境安全最佳实践指南:https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/monitoring-active-directory-for-signs-of-compromise
-
Web应用过滤规则 当上述方案不可行时,可通过IIS ARR反向代理实施缓解。测试环境中,我们使用IIS重写规则阻止了以下外部访问请求(返回403错误):
1 2 3 4 5 6 7 8<rule name="BlockDialin" patternSyntax="Wildcard" stopProcessing="true"> <match url="*" /> <conditions logicalGrouping="MatchAny" trackAllCaptures="false"> <add input="{HTTP_HOST}" pattern="dialin.foo.bar.com" /> <add input="{REQUEST_URI}" pattern="/dialin/*" /> </conditions> <action type="CustomResponse" statusCode="403" statusReason="Access denied." statusDescription="Access denied." /> </rule>Lync Server的ARR配置参考:https://blogs.technet.microsoft.com/nexthop/2013/02/19/using-iis-arr-as-a-reverse-proxy-for-lync-server-2013/
渗透测试报告的最佳使用方式: 建议先评估报告中的缓解措施再决定是否外传。若发现无补丁的零日漏洞,请将报告及POC提交至MSRC。更多信息请访问:www.microsoft.com/msrc
(本文由微软安全中心团队与IDC Skype Exchange研发部门共同撰写)