立即修复!微软史上最严重漏洞之一 Netlogon 细节被公开,三秒接管企业网络
微软在8月补丁星期二中修复了该漏洞 CVE-2020-1472。微软将其描述为用于域名控制器用户认证协议的Netlogon 中的提权漏洞。虽然该漏洞的CVSS 评分为满分10分,但细节从未公开过,也就是说用户和IT 管理员从未意识到该漏洞的严重程度有多高。
不过,荷兰安全公司 Secura B.V. 发布博客文章,解开了该漏洞的神秘面纱并公开了详细的细节报告。报告指出,该漏洞确实值得上 CVSSv3 满分10分的评估。
报告将该漏洞称为“Zerologon”,它利用的是用于Netlogon 认证流程中的一个弱加密算法。
该漏洞可导致攻击者操纵 Netlogon 认证流程并:
在尝试认证域名控制器时,伪造网络上任何计算机的身份
禁用 Netlogon 认证流程中的安全功能
更改域名控制器活动目录(加入某个域名的所有计算机及其密码的数据库)上的计算机密码
该漏洞之所以被命名为“Zerologon”是因为攻击是通过在某些 Netlogon 认证参数中添加多个0字符完成的。
整个攻击的速度非常快,最高不过三秒钟。另外,关于攻击者如何使用 Zerologon 攻击的次数不受限制。例如,攻击者可以伪装成域名控制器本身并更改其密码,导致黑客能够接管整个企业网络。
不过,关于如何利用Zeologon 攻击具有限制条件。它无法用于从网络外部接管 Windows Servers。攻击者首先需要在网络中站稳脚跟。
然而,如符合这一条件,则被攻击企业则束手无策。
研究人员指出,“攻击的影响巨大。它实际上可导致位于本地网络上的任意攻击者(如恶意内鬼或将设备插入本地网络端口的人)完全攻陷 Windows 域名。”此外,该漏洞还备受恶意软件和勒索软件团伙的青睐,它们通常首先感染公司网络中的一台计算机,然后传播到其它机器。而借由 Zerologon 漏洞,这个任务异常简化。
但对于微软而言,修复 Zerologon 并非易事,因为该公司必须修改数十亿设备连接到企业网络的方式,实际上破坏了无数企业的操作。
这个打补丁的过程原定分两个阶段完成。第一个阶段是在上个月完成,当时微软发布了临时修复方案。该临时补丁使得 Netlogon 安全功能(Zerologon 禁用)成为所有 Netlogon 认证的强制步骤,从而破解 Zerologon 攻击。
尽管如此,更复杂的补丁原定于2021年2月完成,以免攻击者找到绕过8月补丁的绕过方式。遗憾的是,微软认为后一阶段的补丁可能会导致某些设备认证失败。
鉴于该漏洞的严重程度之高,影响力之广泛,对攻击者的好处之大,它一定会遭利用。
虽然 Secura 公司并未发布可武器化 Zerologon 攻击的 PoC 代码,但该公司认为报告发布后很快就会出现 PoC。确实,现在可武器化的 PoC 代码已出现,因此该漏洞的窗口期已开放。另外,该公司发布了 Python 脚本,帮助管理员查看域名控制器是否已得到正确修复。
完整报告请见:https://www.secura.com/pathtoimg.php?id=2055
微软紧急更新 Windows 8.1 和 Server 2012 R2,修复两个严重漏洞
https://www.zdnet.com/article/zerologon-attack-lets-hackers-take-over-enterprise-networks/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。