今年最嚴重的Windows錯誤之一正在受到積極利用

微軟在一夜之間警告說，今年修補的影響最大的Windows漏洞之一正受到惡意黑客的積極利用，這一發展給落後者帶來了越來越大的壓力，要求他們立即進行更新。

通過跟蹤漏洞，CVE-2020-1472允許黑客立即控制Active Directory，該Active Directory是Windows伺服器資源，充當連接到網路的所有計算機的強大網守。 研究人員稱該漏洞為Zerologon，因為它允許攻擊者通過使用Netlogon協議在消息中發送零字元串，從而僅使對易受攻擊的網路具有最小訪問許可權的攻擊者登錄Active Directory。

Zerologon具有Microsoft的嚴重嚴重等級，在「常見漏洞評分系統」下最多可以達到10。 儘管獲得了很高的評價，但當微軟在8月份對其進行修補時，特權升級漏洞卻很少受到關注（如果有的話），並且微軟認為「實際利用的可能性很小」。

上周，安全界終於注意到了一些概念驗證漏洞並發布了詳細的文字說明，這些漏洞證明了漏洞的嚴重性以及相對容易利用。

所有的手放在桌上

星期三晚上，微軟發布了一系列推文，表明Zerologon現在正被野蠻利用。

微軟代表寫道：「微軟正在利用CVE-2020-1472 Netlogon EoP漏洞（稱為Zerologon）的漏洞來主動跟蹤威脅行為者的活動。」 「我們已經觀察到攻擊，其中將公共漏洞利用程序合併到攻擊者的劇本中。」

Microsoft 365客戶可以參考我們在Microsoft Defender安全中心發布的威脅分析報告。 威脅分析報告包含旨在幫助SecOps檢測和緩解此威脅的技術詳細信息，緩解措施和檢測詳細信息。

—微軟安全情報（@MsftSecIntel）2020年9月24日

該公司提供了攻擊中使用的文件的多個數字簽名，但未公開提供其他詳細信息。 Microsoft已發布了威脅分析報告，旨在幫助管理員評估其網路的漏洞，但僅對Office 365訂閱者可用。 對於其他所有人來說，最好的資源是來自發現了Zerologon的安全公司Secura的這份白皮書。 Microsoft代表未回復要求提供分析報告副本的電子郵件。

皇冠上的寶石

很難高估利用漏洞的嚴重程度，該漏洞使得可以使用幾十行代碼來控制Active Directory。 活動目錄（及其運行的域控制器伺服器）是勒索軟體攻擊者最珍惜的資源。 通過控制中央配置目錄，他們可以在數分鐘內感染整個機器群。 由國家贊助的進行外科手術精確間諜活動的黑客也對這種訪問方式表示讚賞，因為它允許他們控制感興趣的特定網路資源。

兩種類型的攻擊者通常都是通過以低級特權破壞計算機來開始黑客攻擊的，通常是通過誘使員工單擊惡意鏈接或文件，或者通過在網路釣魚頁面中輸入密碼來進行黑客攻擊。 有時可能需要數周或數月的時間才能將低級特權升級為安裝惡意軟體或執行命令所需的特權。 在某些情況下，Zerologon可以使具有這種立足點的攻擊者幾乎立即獲得對Active Directory的控制。

也可能有直接從Internet進行零登錄的方式，而無需以前的訪問。 這樣的互聯網搜索表明，超過33,000和300萬個網路正在將域控制器和遠程過程調用登錄伺服器暴露給公共Internet。 如果單個網路同時暴露了這兩種資源，則合併可能會使網路沒有任何其他要求而完全開放。

放大/域控制器暴露給Internet.Binary Edge

放大/遠程過程調用暴露於Internet.Binary Edge

Zerologon帶來的風險不僅僅是面臨災難性的黑客入侵。 還存在應用補丁破壞網路最敏感資源的威脅。 上周晚些時候，國土安全部的網路安全部門要求各機構要麼在周一晚之前應用補丁，要麼從Internet上刪除域控制器。

不到三天的時間便發現漏洞利用無處不在，很明顯有該指令的充分理由。