美国国土安全部(US Department Of Homeland Security)要求联邦机构在周二午夜之前修补一个关键的Windows漏洞,该漏洞可以让攻击者很容易成为全能的管理员,可以自由创建账户,用恶意软件感染整个网络,并执行类似的灾难性行动。
正如研究人员所称的那样,Zerologon允许恶意黑客立即获得对Active Directory的未经授权的控制。Active Directory存储与大型组织内有权使用电子邮件、文件共享和其他敏感服务的用户和计算机相关的数据。Zerologon的跟踪编号为CVE-2020-1472。微软上周二发布了补丁。
该漏洞存在于所有受支持的Windows服务器版本中,Microsoft将其评为严重级别,根据通用漏洞评分系统,该级别的最高级别为10。进一步提高这一赌注的是多名研究人员发布的概念验证利用代码,这些代码可能为恶意黑客创造有效攻击提供路线图。
隶属于国土安全部的网络安全和基础设施安全局(CyberSecurity And Infrastructure Security Agency)的官员周五发布了一项紧急指令,警告不打补丁的组织可能会面临严重后果。它声明:
CISA已确定该漏洞对联邦文职行政部门构成不可接受的风险,需要立即采取紧急行动。此确定基于以下内容:
利用代码在野外的可用性增加了任何未打补丁的域控制器被利用的可能性;
该漏洞在更新发布30多天后持续存在。
CISA有权发布旨在缓解已知或疑似安全威胁的紧急指令,要求组织在美国东部时间周一晚上11:59之前安装微软补丁或断开易受攻击的域控制器与组织网络的连接。
在美国东部时间周三晚上11:59之前,各机构将提交一份完成报告,证明更新已应用于所有受影响的服务器,或保证将修补新配置的或之前断开的服务器。
上周二,当该漏洞的细节首次浮出水面时,许多研究人员认为,只有当攻击者已经在易受攻击的网络中站稳脚跟时,恶意内部人士或已经获得较低级别用户权限的外部攻击者才能利用该漏洞。这种后妥协攻击可能是严重的,但要求可能是一个足够高的门槛,要么为易受攻击的网络争取时间,要么迫使攻击者利用更容易但不那么严重的安全漏洞。
从那时起,几位研究人员表示,攻击者有可能在没有如此低级别访问权限的情况下通过互联网利用该漏洞。原因:尽管存在风险,一些组织仍将其域控制器(即运行Active Directory的服务器)暴露给Internet。这样做并且还公开了用于文件共享的服务器消息块或用于网络内数据交换的远程过程调用的网络可以在没有其他要求的情况下被利用。
如果您已经为#zerologon(CVE-2020-1472)设置了检测,请不要忘记,还可以通过SMB利用它!来自安全公司Zero Networks的研究人员写道。为RPC/TCP和RPC/SMB运行此测试脚本(基于@SecuraBV)。“。
凯文·博蒙特(Kevin Beaumont)以独立研究人员的身份行事,他补充道:“进入的门槛很高(但很小),因为到目前为止,这些攻击还不能自动远程查询DC的域名和Netbios名称。一个未打补丁的域控制器=每个打了补丁的域端点都容易受到RCE的攻击。另一个支点,如果您有SMB Open-RPC over SMB。请注意网络检测人员。“。
另一个支点,如果您有SMB Open-RPC over SMB。注意网络检测人员。Https://t.co/2np1gLgTfk。
使用二进制边缘搜索服务的查询显示,几乎有30,000个域控制器可见,另有130万台服务器公开了RPC。如果这些设置中的任何一个适用于单个服务器,则它可能容易受到远程攻击,这些远程攻击会发送巧尽心思构建的数据包,授予对Active Directory的完全访问权限。
博蒙特和其他研究人员继续发现人们正在积极开发攻击代码的证据,但到目前为止,还没有公开报告表明攻击活动活跃-无论是成功的还是企图的。考虑到该漏洞的利害关系和可公开获取的信息数量,在未来几天或几周内出现野外攻击也就不足为奇了。