微软检测到Netlogon漏洞利用

日期: 2020-09-27 作者:Arielle Waldman翻译:邹铮 来源:TechTarget中国 英文

攻击者正在积极利用微软上个月披露和修复的Netlogon关键漏洞。

该漏洞被称为“Zerologon”,标记为CVE-2020-1472,其CVSS安全严重等级评分为最高级10分。通过利用此漏洞,攻击者基本上可变身为域管理员,并获得对企业网络的访问权限。它影响受支持的Windows Server操作系统,包括针对ESU客户的Windows Server 2008和2008 R2。

在上个月的安全更新中,微软表示他们正在通过“分两阶段发布”来修复此漏洞。第一部分在8月补丁星期二安全更新中,第二阶段计划在2021年第一季度。

在其8月补丁星期二披露Netlogon漏洞到一个月后,微软证实发现对该漏洞的利用。

微软安全情报周三在Twitter上写道:“微软正在积极追踪利用CVE-2020-1472 Netlogon EoP漏洞(称为Zerologon)的攻击者活动。我们已经观察到攻击者开始利用该漏洞发起攻击。”

本月初,发现该漏洞的信息安全咨询公司Secura发布了完整的详细信息和漏洞利用的严重性。Secura技术总监Ralph Moonen表示,微软要求Secura等待三到四个星期,以便他们有时间修复该漏洞。

高级安全专家Tom Tervoort和Moonen在博客文章中写道:“该漏洞源于Netlogon远程协议使用的密码身份验证机制中的漏洞,该漏洞可用于更新计算机密码。此漏洞使攻击者可以模拟任何计算机,包括域控制器本身并代表它们执行远程程序调用。”

Tenable公司研究工程经理Scott Caveza表示,在Secura的博客文章发布后不久,互联网上出现了多种概念验证漏洞利用。

他在给SearchSecurity的电子邮件中说:“在随后的数小时和数天里,我们看到用于测试和利用此漏洞的脚本数量增加,并且它们继续在以前的代码上进行扩展,以添加进一步的自动化和复杂的攻击方案。我们估计攻击者会抓住这次机会并开始非常快地利用该漏洞,我们现在看到他们已经开始行动。”

在了解到该漏洞的高风险性后,美国国土安全部网络安全和基础设施安全局(CISA)发布了针对机构的紧急指令,其中列出了所需采取的措施。该CISA指令仅适用于具有Active Directory域控制器角色的Windows服务器,他们要求政府机构在9月21日星期一晚上11:59之前安装Microsoft的8月安全更新。

Moonen表示,即使漏洞很严重,用户也通常不会更新。

他表示:“我们知道,有些客户会认为,修复程序会带来破坏,因此应该等待。IT审核员似乎很乐意接受6个月的补丁程序窗口期,虽然这在90年代和00年代初期没问题,但现在情况已经发生改变。DHS发出紧急指令的事实证明,即使在政府机构内部,对于修复漏洞,也有这种老式想法。”

Caveza表示,基于漏洞利用的速度, Tenable预计该漏洞将成为攻击者的流行选择,并将集成到恶意活动中。

他说:“文件名为‘SharpZeroLogon.exe’的恶意.NET可执行文件样本已上传到VirusTotal。微软安全情报已共享了SHA-256哈希样本,以帮助防御者调查任何被利用的系统。”

与CISA和微软一样,Caveza认为管理员应优先考虑尽快修补此漏洞。

SearchSecurity向微软寻求有关该攻击活动的评论,但该公司拒绝提供其他详细信息。

微软发言人表示:“安全更新已于2020年8月发布。已经安装此更新或启用自动更新的客户将受到保护。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐