查看原文
其他

立即修复!微软史上最严重漏洞之一 Netlogon 细节被公开,三秒接管企业网络

Catalin Cimpanu 代码卫士 2022-04-06
 聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
很多人可能并未注意到微软在上周修复了史上最严重的漏洞之一。攻击者可滥用该漏洞轻松接管在企业网络中当作域名控制器运行的 Windows Servers


微软在8月补丁星期二中修复了该漏洞 CVE-2020-1472。微软将其描述为用于域名控制器用户认证协议的Netlogon 中的提权漏洞。虽然该漏洞的CVSS 评分为满分10分,但细节从未公开过,也就是说用户和IT 管理员从未意识到该漏洞的严重程度有多高。


利用多个 0字符 接管域名控制器


不过,荷兰安全公司 Secura B.V. 发布博客文章,解开了该漏洞的神秘面纱并公开了详细的细节报告。报告指出,该漏洞确实值得上 CVSSv3 满分10分的评估。

报告将该漏洞称为“Zerologon”,它利用的是用于Netlogon 认证流程中的一个弱加密算法。

该漏洞可导致攻击者操纵 Netlogon 认证流程并:

  • 在尝试认证域名控制器时,伪造网络上任何计算机的身份

  • 禁用 Netlogon 认证流程中的安全功能

  • 更改域名控制器活动目录(加入某个域名的所有计算机及其密码的数据库)上的计算机密码

该漏洞之所以被命名为“Zerologon”是因为攻击是通过在某些 Netlogon 认证参数中添加多个0字符完成的。


整个攻击的速度非常快,最高不过三秒钟。另外,关于攻击者如何使用 Zerologon 攻击的次数不受限制。例如,攻击者可以伪装成域名控制器本身并更改其密码,导致黑客能够接管整个企业网络。


三秒接管企业网络


不过,关于如何利用Zeologon 攻击具有限制条件。它无法用于从网络外部接管 Windows Servers。攻击者首先需要在网络中站稳脚跟。

然而,如符合这一条件,则被攻击企业则束手无策。

研究人员指出,“攻击的影响巨大。它实际上可导致位于本地网络上的任意攻击者(如恶意内鬼或将设备插入本地网络端口的人)完全攻陷 Windows 域名。”此外,该漏洞还备受恶意软件和勒索软件团伙的青睐,它们通常首先感染公司网络中的一台计算机,然后传播到其它机器。而借由 Zerologon 漏洞,这个任务异常简化。


补丁已发布


但对于微软而言,修复 Zerologon 并非易事,因为该公司必须修改数十亿设备连接到企业网络的方式,实际上破坏了无数企业的操作。

这个打补丁的过程原定分两个阶段完成。第一个阶段是在上个月完成,当时微软发布了临时修复方案。该临时补丁使得 Netlogon 安全功能(Zerologon 禁用)成为所有 Netlogon 认证的强制步骤,从而破解 Zerologon 攻击。

尽管如此,更复杂的补丁原定于2021年2月完成,以免攻击者找到绕过8月补丁的绕过方式。遗憾的是,微软认为后一阶段的补丁可能会导致某些设备认证失败。

鉴于该漏洞的严重程度之高,影响力之广泛,对攻击者的好处之大,它一定会遭利用。

虽然 Secura 公司并未发布可武器化 Zerologon 攻击的 PoC 代码,但该公司认为报告发布后很快就会出现 PoC。确实,现在可武器化的 PoC 代码已出现,因此该漏洞的窗口期已开放。另外,该公司发布了 Python 脚本,帮助管理员查看域名控制器是否已得到正确修复。

完整报告请见:https://www.secura.com/pathtoimg.php?id=2055





推荐阅读
微软补丁星期二修复120个漏洞,含2个已遭利用的 0day
微软紧急更新 Windows 8.1 和 Server 2012 R2,修复两个严重漏洞



原文链接

https://www.zdnet.com/article/zerologon-attack-lets-hackers-take-over-enterprise-networks/





题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。


奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 吧~




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存