微软(Microsoft)隔夜警告称,今年修补的Windows漏洞之一正受到恶意黑客的积极利用,这一进展给落后者带来了越来越大的压力,要求他们立即更新。
在跟踪漏洞时,CVE-2020-1472允许黑客立即控制Active Directory,Active Directory是一种Windows服务器资源,充当连接到网络的所有计算机的全能网关守卫。研究人员将该漏洞命名为Zerologon,因为它允许仅对易受攻击的网络具有最低访问权限的攻击者通过在使用Netlogon协议的消息中发送一串零来登录Active Directory。
Zerologon具有Microsoft的严重程度评级以及通用漏洞评分系统的最高10级。尽管评级很高,但当微软在8月份对特权升级漏洞进行修补时,它几乎没有受到关注(如果有的话),而且微软认为实际利用该漏洞的可能性“较小”。
上周,安全界终于注意到了这一点,发布了几个概念验证漏洞和详细的记录,表明了该漏洞的严重性和利用它的相对容易。
周三晚上,微软发布了一系列推文,称Zerologon现在正在野外被利用。
微软代表写道:“微软正在利用CVE-2020-1472 Netlogon EoP漏洞(称为Zerologon)积极跟踪威胁参与者的活动。”“我们观察到了一些攻击,这些攻击将公共利用纳入攻击者的行动手册中。”
Microsoft 365客户可以参考我们在Microsoft Defender安全中心发布的威胁分析报告。威胁分析报告包含技术详细信息、缓解措施和检测详细信息,旨在增强SecOps检测和缓解此威胁的能力。
-微软安全情报(@MsftSecIntel)2020年9月24日
该公司提供了攻击中使用的文件的几个数字签名,但没有公开提供更多细节。微软发布了一份威胁分析报告,旨在帮助管理员评估其网络的漏洞,但该报告仅对Office 365订户可用。对于其他人来说,最好的资源是这份来自Secura的白皮书,Secura是发现Zerologon的安全公司。微软代表没有回复要求提供分析报告副本的电子邮件。
利用几十行代码就可以控制Active Directory,这种攻击的严重性怎么说都不过分。活动目录(以及它们在其上运行的域控制器服务器)是勒索软件攻击者最珍视的资源。通过对中央配置目录的控制,他们可以在几分钟内感染整个计算机群。执行外科精确间谍活动的国家支持的黑客也珍视这种访问,因为它允许他们控制感兴趣的特定网络资源。
这两种类型的攻击者通常都会通过损害拥有网络上低级别权限的计算机来开始黑客攻击,通常是通过诱骗员工点击恶意链接或文件,或者通过在钓鱼页面上输入密码来开始黑客攻击。有时可能需要几周或几个月的时间才能将低级别权限提升到安装恶意软件或执行命令所需的用户。在某些情况下,Zerologon可让具有这种立足点的攻击者几乎立即获得对Active Directory的控制。
也可能有方法直接从互联网利用Zerologon,而无需事先访问。像这个和这个这样的Internet搜索显示,超过33,000个和300多万个网络将域控制器和远程过程调用登录服务器暴露给公共Internet。如果单个网络同时公开两种资源,则组合可能会使网络完全开放,而不需要其他要求。
Zerologon带来的风险不仅仅是面临灾难性的黑客攻击。还有一个威胁是,应用补丁程序会破坏网络中最敏感的资源。上周晚些时候,国土安全部(Department Of Homeland Security)的网络安全部门要求各机构要么在周一晚上之前应用补丁,要么从互联网上删除域控制器。
不到三天后,有消息称漏洞正在肆虐,很明显,这一指令是有充分理由的。