微软公司于 2019-09-11 日发布相关通告称微软计划于 2020 年 1 月发布安全更新。为了提升域控制器的安全性,该安全更新将强制开启所有域控制器上 LDAP channel binding 与 LDAP signing 功能。微软官方提示此举有可能造成大量兼容性问题。

LDAP channel binding 与 LDAP signing

2018 年与 2019 年曾有安全研究人员发布严重影响 Windows 域环境安全的多种攻击手法与多个漏洞(包括奇安信 A-TEAM 于今年 2 月向微软提交的 CVE-2019-1040)。此类攻击手法的攻击目标是域内的 LDAP 服务器(一般是域控制器),成功利用此类攻击手法、漏洞的攻击者将获得 Windows 域环境的最高控制权。LDAP channel binding 与 LDAP signing 是微软所推出的缓解这一类攻击手法的有效措施。但是,在以往的 Windows 操作系统中,这两项保护措施并不是默认启用的状态。微软计划通过将于 2020 年 1 月发布的安全更新强制开启这两项保护措施。

所带来的影响

大型企业的网络环境中很有可能部署了一个或多个需要与 LDAP 服务器进行联动的第三方应用(比如各类 OA、CRM 等业务系统)。在 LDAP channel binding 与 LDAP signing 功能被强制开启后,若与 LDAP 进行联动的第三方应用不支持 LDAP channel binding 或 LDAP signing 功能,将会造成严重的兼容性问题,可能导致第三方应用无法正常工作。

行动建议

建议各企业 IT 相关负责人于 2020 年 1 月前对企业内需要与 LDAP 服务器进行联动的第三方应用进行排查,提前确定可能出现兼容性问题的应用,并联系相关软件厂商进行更新。

排查方式见参考资料。

参考资料

[1].https://support.microsoft.com/en-us/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows

[2].https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023

声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。