一、漏洞简介

该漏洞可对 Windows 域环境造成严重危害。微软官方已于今日发布安全补丁对此漏洞进行修复。该漏洞被分配漏洞编号 CVE-2019-1040。攻击者通过利用该漏洞可造成多种不同的危害。其中，最严重危害为：通过利用该漏洞，攻击者在仅有一个普通域账号的情况下可远程控制 Windows 域内的任何机器，包括域控服务器。

二、风险等级

风险评级：高危

预警等级：红色预警（高级网络安全预警）

三、影响范围

Windows 7 sp1 至Windows 10 1903

Windows Server 2008 至Windows Server 2019

四、安全建议

微软官方已推出更新补丁，请在所有受影响的 Windows 客户端、服务器下载安装更新。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040

安装完毕后需重启服务器。

其他加固措施：

强烈建议通过安装官方补丁的方式对漏洞进行修复。对于无法安装补丁的服务器，可通过以下加固措施对此漏洞的某些利用方式进行适当缓解。（注意，这些加固措施并没有修复漏洞，只是针对该漏洞可能存在的一些利用方式进行缓解。这些缓解措施有可能被高级别的攻击者绕过。）

开启所有重要服务器的强制 SMB 签名功能；

（在 Windows 域环境下，默认只有域控服务器开启了强制 SMB 签名）。

启用所有域控服务器的强制 LDAPS Channel Binding 功能；

（此功能默认不启用。启用后有可能造成兼容性问题。）。

启用所有域控服务器的强制 LDAP Signing 功能；

（此功能默认不启用。启用后有可能造成兼容性问题。）。

开启所有重要服务器（比如所有 Exchange 服务器）上相关应用的Channel Binding 功能（如 IIS 的 Channel Binding 功能）。

五、参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040。