微軟NTLM使用file://URL方式,藉由SMB重新導向(Redirect to SMB)來竊取
- 發布單位:TWCERT/CC
- 更新日期:2019-03-29
- 點閱次數:408
CVE編號
尚無CVE編號
內文
此為中間人攻擊手法,攻擊步驟:1.駭客攔截更新的伺服器 2.向受害者回復302 status code來重新導向web client到惡意URL 3.受害電腦就被導向駭客的SMB 伺服器並且竊取帳戶資訊
影響產品
Microsoft Windows NTLM(NT LAN Manager)
解決辦法
建議關閉SMBLAN到WAN的連線(TCP port139和445)並更新NTLM(NT LAN Manager)群組政策。