Windows用戶請注意:最新漏洞Zerologon情報

微軟公司在八月份發佈更新檔程式時修補了幾個安全漏洞,其中包括CVE-2020-1472,這個有關Netlogon協議的漏洞的安全級別為”高危”(通用漏洞評分達到了最大值10.0分)。毫無疑問它會造成一系列威脅,而就在前兩天,漏洞的發現者安全研究員Tom Tervoort,發佈了一份詳細的漏洞報告,分析解釋了這個稱為Zerologon的漏洞為何如此危險,以及如何使用它劫持域控制器。

何為Zerologon

CVE-2020-1472實質上是由Netlogon遠程協議加密認證機制中的錯誤所導致。該協議對基於域的網路中的用戶和機器進行認證,它也被用於遠程更新電腦密碼。攻擊者可以通過此漏洞偽裝成一台客戶電腦並替換域控制器(控制整個網路並運行目錄服務的伺服器)的密碼從而獲取域管理員權限。

哪些系統存在安全隱患

CVE-2020-1472讓那些使用Windows域控制器的公司暴露在安全風險之下,攻擊者可以劫持以下版本的域控制器:所有版本的Windows Server 2019,Windows Server 2016,Windows Server版本1909/1903/ 1809,Windows Server 2012 R2,Windows Server 2012和Windows Server 2008 R2 Service Pack 1。網路不法分子們需要先滲透進入企業網路才能發動攻擊,然而這並非難事,之前出現過各種先例,其中包括內部攻擊和通過公司公共場所的以太網插口進行滲透等等。

幸運的是,目前Zerologon還沒有被用在真實攻擊中(至少我們還沒有收到任何報告)。不過Tervoort的安全報告很可能引起網路攻擊者的注意,儘管安全研究人員並沒有公佈成功的概念證明,但是毫無疑問攻擊者可以通過分析更新檔程式創造出攻擊程式。

如何防禦來自Zerologon的攻擊

微軟公司已經在今年八月初發佈了所有受影響系統的更新檔程式,所以你應該盡快安裝更新檔程式。除此之外,微軟還建議企業監控一切通過不安全版本協議進行的登錄嘗試,並找出不支持新版本協議的設備。理想情況下,應該將域控制器設置為特定的模式,在這種模式中所有設備都使用安全版本Netlogon協議。

這次的更新並不會強制這一要求,因為Netlogon遠程協議並不只是被用於Windows系統中,許多基於其他操作系統的設備也依賴於該協議,如果強制使用的話,一些設備可能無法正常運行。

不過,從2021年2月9日開始,域控制器將被要求使用這種模式(比如強制所有設備使用安全版本的Netlogon協議),所以系統管理員需要提前解決第三方設備符合規定的問題,要麼更新設備系統,要麼將他們加入例外列表中。如果想查看更多有關八月份更新檔程式的內容以及二月份即將到來的變化,請閱讀這篇微軟公司發佈的文章。

資料來源: https://mp.weixin.qq.com/s/-Qr_TBaLIZYu585Z1KouMA

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: