微软警告“ ZeroLogon” Windows Server漏洞正在被野蛮利用

尽管上个月发布了针对该漏洞的补丁，但微软公司的Windows Server中的漏洞正在被积极利用。

网络安全专家将其称为“ ZeroLogon”，而微软则将其称为“ Netlogon EoP”，该漏洞在8月的Microsoft Patch Tuesday安全更新中得到了修补，其严重漏洞得分为10，是CVE等级上可能的最高评分。 该漏洞被称为“特权提升”，攻击者可以使用Netlogon远程协议获得与易受攻击的域控制器的连接，并获取域管理员权限。

尽管已在8月进行了修补，但网络安全公司Secura于本月初率先对该漏洞的工作方式进行了分析。 用它的话来说，这是一个“有趣的漏洞，使您在内部网络上立足的攻击者基本上可以一键成为Domain Admin，”并且“所需要做的就是从以下位置连接到Domain Controller：攻击者的观点。”

使用Zerologon在10秒内完成0域管理（CVE-2020-1472）

使用@_dirkjan的NetrServerPasswordSet2提交即可执行a pic.twitter.com/PELfKJCQLV

-Rich Warren（@buffaloverflow）2020年9月14日

安全漏洞大约是一角钱，但这个漏洞变得更加有趣的是，微软本身就警告说它在野外被利用。 该警告最初来自Twitter上的Microsoft安全情报团队。

Microsoft使用CVE-2020-1472 Netlogon EoP漏洞（称为Zerologon）的漏洞，正在积极跟踪威胁行为者的活动。 我们已经观察到攻击，其中将公共漏洞利用程序合并到攻击者的剧本中。

—微软安全情报（@MsftSecIntel）2020年9月24日

解决Zerologon漏洞的简单解决方案是安装2020年8月补丁，但问题是Windows Server的许多用户仍未积极更新其安装。

特权访问管理公司Thycotic Software Ltd.首席信息安全官Terence Jackson表示：“即使CISA发布了应用微软8月11日发布的补丁的指令，我们也可以看到补丁管理并不像切换开关那样简单。” ，告诉SiliconANGLE。 “由于这种漏洞的性质，攻击者将继续寻找易受攻击的公司并尝试加以利用。 如果攻击者在网络上获得域管理员，则本质上是游戏结束。 公司和代理商应识别其易受攻击的服务器并尽快对其进行修补。”

人工智能威胁检测公司Vectra AI Inc.联邦安全解决方案主管Brian Davis说，诸如ZeroLogon之类的漏洞提醒人们，网络安全工具的弱点过于依赖签名。它们为这种攻击提供了一定程度的保护。 ，尽管事后发现，对于某些人来说为时已晚。”他说。 “许多联邦机构不愿意继续对这种过于熟悉的节奏信任，首先是安全研究人员发现以前未知的漏洞，以新的签名做出反应，只是为了使漏洞利用略有变化并规避这些相同的保护。”

网络曝光公司Tenable Inc.的研究工程经理Scott Caveza将Secura职位与现在的野生漏洞利用联系起来。

“在Secura的博客文章发布后不久，详细介绍了ZeroLogon的影响和技术信息，出现了多个概念验证脚本，” Caveza解释说。 “在随后的几小时和几天里，我们看到可用于测试和利用此漏洞的脚本数量有所增加，并且它们继续扩展到以前的代码，以添加进一步的自动化和复杂的攻击方案。 我们期望攻击者能够抓住机会，并迅速开始利用此漏洞，我们现在看到了这一漏洞。”

图片：微软