周一稍早之际,安全公司 Secura 发布了有关 CVE-2020-1472 安全漏洞公告的技术报告,该公告揭露 Microsoft Netlogon 身份验证程序中某一 CVSS-10 权限提升漏洞,这份技术报告的作者并将它命名为“Zerologon”。
这个漏洞已在微软 2020 年 8 月的 Patch Tuesday 每月例行修补日所发布更新修补程式中进行部分的修补,它是由 Netlogon 协定之加密实作(特别是在 AES-CFB8 加密的使用上)的某个瑕疵所引起的。成功发动漏洞攻击会造成非常重大的负面影响:该漏洞可以透过劫持 Windows Servers(做为网域控制器而运行)来全面接管 Active Directory 网域,进而让在企业内部网络上拥有立足点的攻击者,可以透过单一击键而实际变成网域管理员。从攻击者的角度来看,所需要做的就是连接到网域控制器。这个 RPC 连接可以直接建立,也可以经由 Namedpipes 通讯通过 SMB 协定来建立。
Secura 官方部落格包含概念验证(PoC)码,该程式码可执行身份验证规避,并且很容易被武装化以便用于包括勒索软件和其他恶意软件散播等攻击者操作。完全武装化的漏洞攻击不太可能需要花很长时间才能攻击互联网。
Rapid7 旗下弱点管理方案 InsightVM 的客户可以透过某个身份验证检测机制来评估他们暴露在 CVE-2020-1472 漏洞下的风险指数。凡尚未套用微软 2020 年 8 月 11 日安全更新程式的企业组织,务必紧急考虑修补 CVE-2020-1472 漏洞。成功套用 2020 年 8 月安全更新程式的微软客户可以立即或在 2021 年 Q1 更新之后部署网域控制器(DC)强制模式,该更新包括此漏洞修补程式的第二部分。微软已在其官网上提供有关如何管理与此漏洞相关之 Netlogon 安全通道连接变更的指南。
- CVE-2020-1472 “Zerologon" Critical Privilege Escalation: What You Need To Know
(首图来源:pixabay)
