黑客开始利用Windows Server的Zerologon漏洞发动攻击

针对9月稍早美国国土安全部发出紧急修补指令的重大漏洞Zerologon,微软昨(24)日警告,已经侦测到真的攻击活动,呼吁企业应立即修补漏洞。

微软安全团队指出,目前正密切关注开采又名Zerologon的CVE-2020-1472 Netlogon权限升级漏洞的黑客活动。微软观察到,遭公开的攻击程序已集成入黑客的攻击行动中。

微软并未提供更多细节,仅提供了一个样本使用的散列,并再次建议用户立即安装该漏洞的修补程序。

编号CVE-2020-1472的Zerologon的漏洞,是位于Windows Server中Active Directory核心验证组件Netlogon远程协议(MS-NRPC)中,可让未经授权的攻击者发送假造的Netlogon验证令符突破加密算法验证,而成功冒充合法机器登录域名控制器,进而完全掌控所有AD域名内的身份服务,结果就是在域名下任何一台设备执行恶意程序。

美国网络安全暨基础架构安全局(CISA)另外也警告,Zerologon也影响用于网络芳邻架设的Samba,4.7以下版本环境也会曝险。这个开源软件的维护组织及CISA也呼吁用户尽早更新到最新版本。

该漏洞影响重大,风险评分达10.0满分。微软已在8月Patch Tuesday安全更新中将之修补。美国国土安全部上周也发布今年第4次紧急指令(Emergency Directive),要求所有政府机构应在周一午夜前修补好该漏洞。