360 安全监测与响应中心监测到，国外安全人员公开了一个对域环境造成严重威胁的攻击方案。安全研究人员将已经公开的多个 Windows 特性进行了串联，在一定条件（该条件非常容易达到）下实现了直接控制域内任何主机的攻击效果。

漏洞描述

国外安全人员公开了一个对域环境造成严重威胁的攻击方案。安全研究人员将已经公开的多个 Windows 特性进行了串联，在一定条件（该条件非常容易达到）下实现了直接控制域内任何 Windows 主机的攻击效果。在一定程度上，此攻击方案造成的效果甚至超过前期Exchange SSRF 漏洞所带来的后果。

攻击者在已经进入了目标内网环境并控制了任意一台机器后，可以发动此攻击方案来攻击同一广播域内的其他加入了 Windows 域的机器。

攻击发动后，生效时间与被攻击主机的配置有关。可能很快生效，也有可能需要更长时间。

风险等级

360安全监测与响应中心风险评级为：高危

预警等级：蓝色预警（一般事件）

影响范围

使用 Windows 2012 （及更高版本）做域控制器的 Windows 域环境

处置建议

以下任一处置建议均可以使此攻击方案失效，但是为了更高的安全性以对抗更多未知攻击方案，建议应该都采用。

1.     在所有域控制器上打开强制 LDAP 签名与 LDAPS Channel Binding 功能。（注意此操作可能会引起兼容性问题，具体情况请联系微软）

2.     将域内含有敏感权限的用户（比如所有拥有域管理员权限的账号）加入Protected Users 组

有关 Protected Users 组的介绍，请查阅：

https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group

3.     将域内含有敏感权限的用户（比如所有拥有域管理权限的账号）设置为“敏感账户，不能被委派”，如下图所示：

安全人员还提出了其他的缓解方案，如：

1. 如果企业环境内没有用到 WPAD，可通过下发域策略禁用域内主机的WinHttpAutoProxySvc服务

2. 如果企业环境内没有用到IPv6，可通过主机防火墙或在网络层面限制网络中的DHCPv6 流量