让黑客变成域名管理员!微软惊爆“Zerologon”重大权限提升漏洞

周一稍早之际,安全公司Secura发布了有关CVE-2020-1472安全漏洞公告的技术报告,该公告披露Microsoft Netlogon身份验证程序中某一CVSS-10权限提升漏洞,这份技术报告的作者并将它命名为“Zerologon”。

这个漏洞已在微软2020年8月的Patch Tuesday每月例行修补日所发布更新修补程序中进行部分的修补,它是由Netlogon协议之加密实例(特别是在AES -CFB8加密的使用上)的某个瑕疵所引起的。成功发动漏洞攻击会造成非常重大的负面影响:该漏洞可以通过劫持Windows Servers(作为域名控制器而运行)来全面接管Active Directory域名,进而让在企业内部网络上拥有立足点的攻击者,可以通过单一击键而实际变成域名管理员。从攻击者的角度来看,所需要做的就是连接到域名控制器。这个RPC连接可以直接创建,也可以经由Namedpipes通信通过SMB协议来创建。

Secura官方博客包含概念验证(PoC)码,该程序代码可执行身份验证规避,并且很容易被武装化以利用于包括勒索软件和其他恶意软件散播等攻击者操作。完全武装化的漏洞攻击不太可能需要花很长时间才能攻击互联网。

Rapid7旗下弱点管理方案InsightVM的客户可以通过某个身份验证检测机制来评估他们暴露在CVE-2020-1472漏洞下的风险指数。凡尚未套用微软2020年8月11日安全更新程序的企业组织,务必紧急考虑修补CVE-2020-1472漏洞。成功套用2020年8月安全更新程序的微软客户可以立即或在2021年Q1更新之后部署域名控制器(DC)强制模式,该更新包括此漏洞修补程序的第二部分。微软已在其官网上提供有关如何管理与此漏洞相关之Netlogon安全信道连接变更的指南。

(首图来源:pixabay)