今年最严重的Windows错误之一正在受到积极利用

微软在一夜之间警告说，今年修补的影响最大的Windows漏洞之一正受到恶意黑客的积极利用，这一发展给落后者带来了越来越大的压力，要求他们立即进行更新。

通过跟踪漏洞，CVE-2020-1472允许黑客立即控制Active Directory，该Active Directory是Windows服务器资源，充当连接到网络的所有计算机的强大网守。 研究人员称该漏洞为Zerologon，因为它允许攻击者通过使用Netlogon协议在消息中发送零字符串，从而仅使对易受攻击的网络具有最小访问权限的攻击者登录Active Directory。

Zerologon具有Microsoft的严重严重等级，在“常见漏洞评分系统”下最多可以达到10。 尽管获得了很高的评价，但当微软在8月份对其进行修补时，特权升级漏洞却很少受到关注（如果有的话），并且微软认为“实际利用的可能性很小”。

上周，安全界终于注意到了一些概念验证漏洞并发布了详细的文字说明，这些漏洞证明了漏洞的严重性以及相对容易利用。

所有的手放在桌上

星期三晚上，微软发布了一系列推文，表明Zerologon现在正被野蛮利用。

微软代表写道：“微软正在利用CVE-2020-1472 Netlogon EoP漏洞（称为Zerologon）的漏洞来主动跟踪威胁行为者的活动。” “我们已经观察到攻击，其中将公共漏洞利用程序合并到攻击者的剧本中。”

Microsoft 365客户可以参考我们在Microsoft Defender安全中心发布的威胁分析报告。 威胁分析报告包含旨在帮助SecOps检测和缓解此威胁的技术详细信息，缓解措施和检测详细信息。

—微软安全情报（@MsftSecIntel）2020年9月24日

该公司提供了攻击中使用的文件的多个数字签名，但未公开提供其他详细信息。 Microsoft已发布了威胁分析报告，旨在帮助管理员评估其网络的漏洞，但仅对Office 365订阅者可用。 对于其他所有人来说，最好的资源是来自发现了Zerologon的安全公司Secura的这份白皮书。 Microsoft代表未回复要求提供分析报告副本的电子邮件。

皇冠上的宝石

很难高估利用漏洞的严重程度，该漏洞使得可以使用几十行代码来控制Active Directory。 活动目录（及其运行的域控制器服务器）是勒索软件攻击者最珍惜的资源。 通过控制中央配置目录，他们可以在数分钟内感染整个机器群。 由国家赞助的进行外科手术精确间谍活动的黑客也对这种访问方式表示赞赏，因为它允许他们控制感兴趣的特定网络资源。

两种类型的攻击者通常都是通过以低级特权破坏计算机来开始黑客攻击的，通常是通过诱使员工单击恶意链接或文件，或者通过在网络钓鱼页面中输入密码来进行黑客攻击。 有时可能需要数周或数月的时间才能将低级特权升级为安装恶意软件或执行命令所需的特权。 在某些情况下，Zerologon可以使具有这种立足点的攻击者几乎立即获得对Active Directory的控制。

也可能有直接从Internet进行零登录的方式，而无需以前的访问。 这样的互联网搜索表明，超过33,000和300万个网络正在将域控制器和远程过程调用登录服务器暴露给公共Internet。 如果单个网络同时暴露了这两种资源，则合并可能会使网络没有任何其他要求而完全开放。

放大/域控制器暴露给Internet.Binary Edge

放大/远程过程调用暴露于Internet.Binary Edge

Zerologon带来的风险不仅仅是面临灾难性的黑客入侵。 还存在应用补丁破坏网络最敏感资源的威胁。 上周晚些时候，国土安全部的网络安全部门要求各机构要么在周一晚之前应用补丁，要么从Internet上删除域控制器。

不到三天的时间便发现漏洞利用无处不在，很明显有该指令的充分理由。