MS12-083：修复IP-HTTPS中缺失的证书吊销检查漏洞

MS12-083的发布旨在解决一个安全功能绕过漏洞，这类漏洞我们通常不频繁发布安全更新。这是第三次此类实例，之前MS12-001和MS12-032已处理过安全功能绕过问题。在MS12-083中，被绕过的安全功能是IP-HTTPS中的吊销检查。该“IP-HTTPS”组件用于Direct Access环境。此漏洞允许接受已吊销的计算机证书进行身份验证。

被绕过的安全功能是什么？

Direct Access服务器可配置为允许多种不同的隧道协议。可以使用Teredo、6to4、原生IPv6或IP-HTTPS。IP-HTTPS旨在成为连接Direct Access服务器的最安全方式，因为它提供初始客户端和服务器身份验证。然而，在MS12-083解决的漏洞中，IP-HTTPS服务器未正确检查客户端证书的吊销状态。这将允许攻击者使用已吊销的计算机证书并建立IP-HTTPS隧道以进行进一步通信。

IP-HTTPS吊销检查的安全绕过有多严重？

此攻击仅在使用IP-HTTPS服务器信任的证书颁发机构颁发的已吊销计算机证书时才可能发生。尽管此漏洞允许使用已吊销证书创建外部IP-HTTPS隧道，但需要有效的域凭据和IPsec隧道证书才能建立IPsec隧道（基础设施和内部网隧道）并访问内部资源。

通过建立到DA服务器的IP-HTTPS隧道，客户端将获得一个IPv6接口以连接到DA服务器。攻击者可以利用此接口在其他客户端执行重复IPv6地址检测和其他标准IPv6邻居发现时查看其他客户端的IPv6地址。知道网络中其他客户端的IPv6地址后，攻击者可以利用任何其他网络漏洞。

最可能的攻击场景是什么？

如上所述，此漏洞允许客户端在其证书被吊销后仍能访问网络。因此，最可能的攻击场景是员工被解雇或失去对其笔记本电脑的物理控制的情况。在这两种情况下，仅吊销证书会在尚未安装此安全更新的系统上提供虚假的安全感。

如何缓解此漏洞？

此安全更新全面解决了该漏洞。要在没有安全更新的情况下缓解问题，我们建议在吊销证书的同时在Active Directory中禁用计算机账户。这样做将阻止创建IP-HTTPS隧道。

• Gangadhara Swamy和Ali Rahbar，MSRC工程团队