简述:
- Microsoft Remote Registry Service是Windows操作系统中的一个服务,允许远程用户通过网络访问和修改计算机上的注册表。
- 由于Microsoft Remote Registry客户端在SMB传输不可用的情况下回退到RPC认证时,切换到较旧的协议并采用弱认证级别,该级别无法验证通信的完整性或来源,攻击者可利用该缺陷,通过拦截 NTLM 身份验证握手并将其中继到其他服务,实现NTLM中继攻击,进而可能创建域管理员账户或 接管整个域 。
影响范围:
所有运行Windows Server版本的操作系统,包括2008到2022版及Window 10/11。