E安全消息，Windows Kerberos身份认证协议中存在一个严重漏洞，对数百万服务器构成了重大威胁。微软在11月补丁星期二更新中解决了此问题。

　　Microsoft Kerberos是一种广泛使用的用于验证主机或用户身份的身份验证协议。为了利用这个漏洞，未经身份验证的行为者必须利用密码协议漏洞来实现RCE海外IP代理端口，微软在其“补丁星期二”中解释道。

　　该漏洞被追踪为CVE-2024-43639，CVSS得分为9.8（严重）。此漏洞允许攻击者向易受攻击的系统发送精心设计的请求，以获得未经授权的访问和远程代码执行(RCE)。

　　如果不及时修补，可能会导致各种规模的组织遭受严重后果，包括数据盗窃、系统中断，甚至整个系统被破坏。由于Windows Server的广泛使用和攻击者可以轻易利用，这个漏洞尤其令人担忧。

　　不过，Censys研究称，并非所有这些实例都易受攻击，只有配置了Kerberos KDC代理的服务器才会受到影响。

　　“请注意，显示的设备只有在配置为Kerberos KDC代理协议服务器时，才易受攻击。”Censys博客文章写道。

　　这些设备中有一半以上被发现TCP/443端口开放，这是KDC代理协议服务器的默认端口，研究人员敦促管理员确认他们系统上该协议的存在。

　　供您参考，KDC代理协议服务器允许客户端通过HTTPS与KDC服务器通信，使用Kerberos协议（例如用于Kerberos身份验证服务和票证光栅服务交换的UDP/TCP 88，以及用于Kerberos密码更改的TCP 464）。这些协议假设可以直接、可靠地访问KDC服务器，通常在同一网络或VPN内，并通常用于远程桌面网关和DirectAccess等服务。

　　系统管理员应该修补所有配置为KDC代理服务器的Windows服务器，禁用不必要的KDC代理服务，并实施安全措施如网络分段和防火墙，以最小化网络攻击的风险。

　　鉴于许多服务器易受攻击，攻击者不断利用这些弱点。建议快速修补和采取额外的安全措施，以降低网络攻击的风险。