Windows KDC 曝代理 RCE 漏洞：攻击者可远程控制服务器

安全研究人员近日在微软的曝代Windows密钥分发中心（KDC）代理中发现了一个严重的远程代码执行漏洞（CVE-2024-43639），攻击者可能利用该漏洞完全控制受影响的理R漏洞服务器。该漏洞源于KDC代理服务中缺乏对Kerberos响应长度的攻击检查，导致整数溢出 ，远程从而使得未经身份验证的控制远程攻击者能够以目标服务的权限执行任意代码
，可能导致系统完全沦陷。服务

漏洞背景

该漏洞由昆仑实验室与Cyber KunLun的高防服务器曝代安全研究人员联合发现 ，主要存在于KDC代理服务器服务（KDCSVC）中 。理R漏洞KDCSVC通过HTTPS代理Kerberos流量，攻击为远程工作负载提供Kerberos身份验证功能。远程研究人员分析指出
，控制漏洞的服务核心问题在于对Kerberos响应长度的不当处理
，缺乏必要的曝代验证检查，导致攻击者可通过精心构造的理R漏洞响应触发内存损坏 ，免费模板进而执行任意代码 。攻击

Kerberos是Windows环境中关键的身份验证协议
 ，广泛应用于Active Directory域中
。当远程客户端需要身份验证但无法直接连接到域控制器时 ，KDC代理便会作为中间件
，通过HTTPS转发身份验证请求。这一功能尤其适用于RDP网关和DirectAccess等服务。

漏洞利用的技术细节

攻击者通过控制一个服务器并返回精心构造的Kerberos响应
，源码下载利用KpsSocketRecvDataIoCompletion()函数未对响应长度进行验证的缺陷触发整数溢出 。漏洞在ASN.1编码过程中导致内存分配或重新分配失败
，从而引发内存损坏 。攻击者甚至可以绕过现有的验证机制 ，直接进入易受攻击的代码路径。

影响范围与风险

该漏洞仅影响明确配置为KDC代理服务器的系统，不影响域控制器 。然而
，源码库对于依赖KDC代理的远程认证服务（如RDP网关和DirectAccess）环境来说，攻击者无需身份验证即可利用漏洞，后果可能极为严重 。尽管截至2025年3月4日尚未发现相关攻击，但详细技术信息的披露增加了未来被利用的可能性。

缓解措施与修复建议

微软已在2024年11月的安全更新中修复该漏洞，对KDC代理服务器服务中的响应长度添加了验证检查 。服务器租用建议运行KDC代理的机构立即应用该补丁。若无法立即修补，可考虑暂时禁用KDC代理服务 ，尽管这可能会影响企业网络外部用户的远程认证能力。此外 ，安全团队还应监控TCP端口88的流量，检测潜在的可疑活动。

云计算