各位师生：

   接到安全团队通报：监测到Winodws域控环境下，其组件存在NTLM Relay漏洞的信息，漏洞类型为中间人攻击，漏洞编号：ADV210003，漏洞威胁等级：高危。

   该漏洞攻击者可从域外机器发起攻击，胁迫受害者主机向目标机器进行一次认证，攻击者在自身不需要认证的情况下，结合利用域内的 AD CS 服务获取证书凭证，甚至可以获取到域管理员的凭证，直接接管 Windows 域。

   目前受影响的Windows版本：

   Windows Server 2019 (Server Core installation)

   Windows Server 2016 (Server Core installation)

   Windows Server 2012/2012 R2/016/2019

   Windows Server 2008 R2 Service Pack 1/2

   Windows Server, version 20H2(Server Core installation)

   Windows Server, version 2004(Server Core installation)

   利用条件：

 利用难度：简单，不需要用户认证即可利用该漏洞。

 威胁等级：高危，与域内的AD CS服务结合利用时会导致证书凭证泄露，甚至可以获取到域管理员的凭证，直接接管Windows域。

   检测方法：

   Win+r中输入winver即可查看系统版本。

   官方修复建议：

  当前官方已发布受影响版本的对应的缓解措施，建议受影响的用户及时按照官方提供的缓解措施进行配置。链接如下：

https://support.microsoft.com/zh-cn/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

                       信息化技术中心

                         2021.8.7