週一稍早之際,安全公司 Secura 發布了有關 CVE-2020-1472 安全漏洞公告的技術報告,該公告揭露 Microsoft Netlogon 身分驗證程序中某一 CVSS-10 權限提升漏洞,這份技術報告的作者並將它命名為「Zerologon」。
這個漏洞已在微軟 2020 年 8 月的 Patch Tuesday 每月例行修補日所發布更新修補程式中進行部分的修補,它是由 Netlogon 協定之加密實作(特別是在 AES-CFB8 加密的使用上)的某個瑕疵所引起的。成功發動漏洞攻擊會造成非常重大的負面影響:該漏洞可以透過劫持 Windows Servers(做為網域控制器而運行)來全面接管 Active Directory 網域,進而讓在企業內部網路上擁有立足點的攻擊者,可以透過單一擊鍵而實際變成網域管理員。從攻擊者的角度來看,所需要做的就是連接到網域控制器。這個 RPC 連接可以直接建立,也可以經由 Namedpipes 通訊通過 SMB 協定來建立。
Secura 官方部落格包含概念驗證(PoC)碼,該程式碼可執行身分驗證規避,並且很容易被武裝化以便用於包括勒索軟體和其他惡意軟體散播等攻擊者操作。完全武裝化的漏洞攻擊不太可能需要花很長時間才能攻擊網際網路。
Rapid7 旗下弱點管理方案 InsightVM 的客戶可以透過某個身分驗證檢測機制來評估他們暴露在 CVE-2020-1472 漏洞下的風險指數。凡尚未套用微軟 2020 年 8 月 11 日安全更新程式的企業組織,務必緊急考慮修補 CVE-2020-1472 漏洞。成功套用 2020 年 8 月安全更新程式的微軟客戶可以立即或在 2021 年 Q1 更新之後部署網域控制器(DC)強制模式,該更新包括此漏洞修補程式的第二部分。微軟已在其官網上提供有關如何管理與此漏洞相關之 Netlogon 安全通道連接變更的指南。
(首圖來源:pixabay)
