已发现一个影响 Microsoft Telnet Server 的严重漏洞，该漏洞允许远程攻击者完全绕过身份验证，并在没有有效凭据的情况下获得管理员访问权限。Hacker Fantastic 的一份报告中详细介绍了该漏洞——涉及 Microsoft Telnet 身份验证协议 （MS-TNAP）——对传统 Windows 系统构成了重大安全威胁，目前没有可用的官方补丁。

根据该报告，“Microsoft Telnet Server 中存在一个关键的 0-click 远程身份验证绕过漏洞，攻击者可以以任何用户（包括管理员）的身份获得访问权限，而无需有效的凭据。此漏洞是由于 Telnet 服务器处理 NTLM 身份验证过程的方式配置错误而引起的。

该漏洞影响了广泛的 Microsoft作系统，包括：

Windows 2000Windows XPWindows Server 2003Windows VistaWindows Server 2008Windows 7Windows Server 2008 R2

该漏洞源于 Telnet 服务器未正确初始化 NTLM 身份验证凭据并未正确处理相互身份验证。具体而言，服务器在身份验证握手期间设置易受攻击的 SSPI 标志：

“服务器使用SECPKG_CRED_BOTH标志初始化 NTLM 安全性”，并且“使用带有 ASC_REQ_DELEGATE 和 ASC_REQ_MUTUAL_AUTH 标志的 AcceptSecurityContext（），”报告解释说。

这种错误的配置会导致身份验证关系的危险倒置 — 使服务器向客户端验证自身身份，而不是验证客户端的身份。

Hacker Fantastic 发布的概念验证 （PoC） 漏洞利用通过以下步骤利用了该漏洞：

请求使用特定标志进行相互身份验证。为目标管理员账户使用 NULL 密码。纵 SSPI 标志以触发服务器的身份验证逻辑缺陷。发送欺骗服务器的修改后的 NTLM 类型 3 消息。实现完全身份验证绕过，最终以管理员权限打开 Telnet 会话。

如前所述，“攻击者可以通过发送相互身份验证数据包并利用 SSPI 配置绕过服务器端身份验证来绕过对主机上任何帐户的身份验证。

已发布的 PoC telnetbypass.exe 面向 localhost 或加入域的主机，并要求 Telnet Server 服务运行

令人担忧的是，“目前没有针对此漏洞的补丁。因此，敦促组织立即采取保护措施：

在所有系统上禁用 Telnet Server 服务。过渡到更安全的替代方案，例如 SSH 进行远程管理。实施网络级筛选，将 Telnet 访问限制为仅受信任的 IP 和网络。使用应用程序控制策略阻止未经授权的 Telnet 客户端。

重要的是，为了最大限度地降低大规模利用的风险，“此漏洞利用的源代码已被保留”。目前仅向公众发布了二进制 PoC。