XCon2022 焦点回顾｜中安网星为技敢破

近日，作为国内知名度、权威性较高、规模较大的信息安全会议，XCon 2022安全焦点信息安全技术峰会于北京望京昆泰酒店圆满举办。XCon持续致力于国内安全技术交流氛围的营造，架设国际间技术交流与合作的纽带，同时也是业界内安全从业者的饕餮盛宴。

（图片来源：XCon 2022）

此次峰会为大家带来10场主会闭门演讲，领略前沿技术动向。值得关注的是本次的XReward路演区，13家活力厂商开放路演，碰撞极致思维脑洞。与顶尖技术大牛切磋的同时，领略尖端科技，纵享领域内新鲜研究成果。

作为国内专业身份威胁（ITDR）安全方案提供商，中安网星高级安全专家李帅臻出席本届XCon峰会分会场XReward，并为大家带来深度的议题分享《从NTLM Relay看Windows RPC攻击面》，为现场参会者带来了一场高质量、高纯度的技术风暴。

目前，NTLM Relay更多的利用场景是在AD域环境下的攻防，Relay的攻击是目前AD域全补丁情况下的一种主流的攻击手法，可以在补丁齐全、所有漏洞都修复的情况下获取到域控的权限。

本次分享主要分为三部分,第一部分带大家了解NTLM Relay在实战中的利用、第二部分主要分享一些RPC的相关知识，最后为大家介绍了来自最新的Windows RPC相关漏洞的挖掘与利用。

议题的开始从NTLM Relay切入,首先对Printbug、PetitPotam的漏洞原理及利用过程进行分析，讲解了目前全补丁环境下针对AD域的主流攻击手法——NTLM Relay。

第二部分通过详细讲解RPC的工作原理和利用场景，介绍了RPC在Windows中的一些利用场景,及攻击者如何利用Windows RPC进行传统攻击的杀软绕过等操作。

随着国内外对于RPC研究逐渐深入，大家一致认为Windows RPC的攻击面、发掘潜力巨大，逐渐成为了国内外针对windows漏洞挖掘的研究重点。同时详细讲解了如何编写程序对RPC进行调用以及对函数、参数的FUZZ和研究。

最后讲解了针对RPC漏洞的挖掘，中安网星安全团队发现的一些新的攻击面，包括远程文件上传等。

第三部分，结合RPC相关的知识，围绕CVE-2022-30216展开具体分析，CVE-2022-30216漏洞为微软在7月12日公布的一个新的安全漏洞，该漏洞为Smb-Over-Quic功能下Windows Server服务RPC安全回调逻辑的相关漏洞，此次演讲详细分析了Windows历史版本安全回调的相关实现及Windows11/Windows Server2022版本下安全回调逻辑的相关实现，并结合第二部分RPC漏洞分析与调试的相关知识，分析了CVE-2022-30216漏洞的调试与武器化利用的过程。

中安网星安全团队致力于对身份威胁以及Windows AD域相关的研究，针对CVE-2022-30216漏洞，智域目录安全平台已在第一时间支持攻击检测，目前智域目录安全平台支持包括新漏洞在内的所有AD域攻击手法的检测，覆盖AD域攻击的全生命周期。

中安网星——身份威胁检测和响应（ITDR）

随着近期身份威胁检测与响应概念的广受关注，作为国内首家以AD安全防护问题切入身份安全治理的安全厂商，中安网星身份安全研究团队认为:“过去以终端和网络维度为核心的威胁检测产品非常多，但现阶段随着网络架构逐渐云化及去边界化，以身份威胁检测和响应为核心的防护会成为网络安全市场不可或缺的一部分；身份安全不仅仅是身份认证与管理（IAM）这一件事，更包括有检测、保护、响应一整套方案；“AD”作为企业常用的身份认证源，有大量的认证对象接入认证使用，具有极大的保护价值，因而以AD安全防护问题切入身份安全治理的路径也是切实可行的。”

中安网星凭借自主创新研发的AD域安全防护产品——智域，为身份安全检测与响应（ITDR）解决方案的落地打下了坚实的基础。未来中安网星身份安全检测与响应（ITDR）解决方案，将为更多的企业用户提供领先的身份安全防护能力。