新闻链接：036K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0u0U0N6r3!0Q4x3X3g2U0L8$3#2Q4x3V1k6m8M7Y4c8A6j5$3I4W2i4K6u0r3x3U0l9I4y4o6l9#2i4K6u0r3x3K6l9@1y4e0f1%4i4K6u0W2K9s2c8E0L8l9`.`.
新闻时间：2014-05-28
新闻正文：5月微软补丁KB2871997和KB2928120漏洞利用分析

5月，微软在13日发布月度安全更新，其中 有KB2871997和 KB2928120 两个知识库文章Knowledgeased（而KB2871997甚至不是Security Bulletin）。对于无论是作为攻击的渗透测试人员还是作为防守的管理员都不容忽视这两个更新。 KB2871997针对大名鼎鼎的PTH（pass the hash攻击方式）。下面看看安全研究人员Craig对此分析。

KB2871997

这个被称为“PTH杀手”的更新，将使本地帐号不再可以用于远程接入系统，不管是 network logon 还是 interactive login，这就包括像使用 PSEXEC工具甚至IPC远程浏览 C$ ，从表面上看这就有效的降低了一些攻击场景下的威胁。例如一台机器被攻陷后，dump出所有hash，找到本地管理员的hash，再拿着去攻击网络内其他使用相同密码的机器，往往整个网络就这样被控制下来了。

然而，在 Craig 的测试中发现，所有以上的情况都是没说错，但是唯独默认的 Administrator (SID 500)帐号例外，请注意把administrator改名了，它的SID仍然是500，只要它还是 SID 500那么以前的攻击方法还是有效。

所以作为防守方的管理员应该要禁用默认的 local admin帐号，然后重新新建常规的 local user帐号，再把它加进去管理员组。如果管理员做到这样了，那么黑客dump到的本地hash将不再在网络重放中有效，不管是hash还是实际的 credentials。Windows 7默认是禁用 Administrator帐号的，但是 Craig 发现往往在有些企业环境里，这个 Administrator帐号又会被启用起来，只是改了个名字， 也就是说仍然是SID 500，那么这个补丁将帮不了你。

Craig在MSF和powershell里用WMI和psexec_command测试过，都有同样的结果——所有 local account访问都被deny了，除了 SID 500。 Domain hashes和SID 500 的hash仍然可以 pass the hash。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！