Windows Kerberos身份验证协议中的一个严重漏洞对数百万台服务器构成了重大风险。Microsoft在上周的补丁星期二更新中解决了此问题。请确保安装这些补丁以保护您的系统。

Microsoft发布了针对Microsoft Kerberos中一个严重漏洞的补丁，Microsoft Kerberos是一种广泛使用的用于验证主机或用户身份的身份验证协议。此漏洞允许攻击者向易受攻击的系统发送精心设计的请求，以获得未经授权的访问和远程代码执行(RCE)。

微软在其周二补丁日公告中解释道，为了利用此漏洞，未经身份验证的行为者必须利用加密协议漏洞来实现RCE 。

该漏洞的编号为CVE-2024-43639，CVSS评分为9.8（严重程度）。如果不及时修补，可能会给各种规模的组织带来严重后果，包括数据被盗、系统中断，甚至整个系统被攻陷。由于Windows Server的广泛使用以及攻击者利用该漏洞的容易程度，该漏洞尤其令人担忧。

根据Censys共享的调查结果，有超过200万(2274340)个Windows Server实例暴露，其中1211834个可能存在漏洞。然而，Censys的研究表明，并非所有这些实例都存在漏洞，因为只有配置了Kerberos KDC代理的服务器才会受到影响。

Censys博客文章写道：“请注意，显示的设备只有在配置为Kerberos KDC代理协议服务器时才容易受到攻击。”

发现超过一半的设备都打开了TCP/443，这是KDC代理协议服务器的默认端口，研究人员敦促管理员确认该协议是否存在于他们的系统中。

供您参考，KDC代理协议服务器允许客户端通过HTTPS与KDC服务器通信，使用Kerberos协议（例如用于Kerberos身份验证服务和票证光栅服务交换的UDP/TCP 88，以及用于Kerberos密码更改的TCP 464）。这些协议假定直接、可靠地访问KDC服务器（通常在同一网络或VPN内），并且通常用于远程桌面网关和DirectAccess等服务。

关于受影响最严重的地区，Censys指出，这些易受攻击的服务器中有34%位于美国，11%与托管IT提供商Armstrong Enterprise Communications有关。

系统管理员应修补所有配置为KDC代理服务器的Windows服务器，禁用不必要的KDC代理服务，并实施网络分段和防火墙等额外的安全措施，以最大限度地降低网络攻击的风险。

这种情况非常紧急，因为许多服务器都存在漏洞，攻击者不断利用这些弱点。快速修补和额外的安全措施可以大大降低网络攻击的风险。