如果您正在管理Windows Server,请确保它与Microsoft最近发布的所有最新修补程序都是最新的,尤其是修复了一个最近修补的严重漏洞的漏洞,该漏洞可能使未经身份验证的攻击者破坏域控制器。
名为“ Zerologon”(CVE-2020-1472)并由Secura的Tom Tervoort发现, 由于Netlogon会话不安全使用AES-CFB8加密,因此存在特权升级漏洞,从而允许远程攻击者建立与目标域控制器的连接通过Netlogon远程协议(MS-NRPC)。
“该攻击利用了身份验证协议中的缺陷,该缺陷可验证加入域的计算机对域控制器的真实性和身份。由于不正确使用AES操作模式,因此有可能欺骗任何计算机帐户的身份(包括DC本身的密码),并为域中的该帐户设置一个空密码。” 网络安全公司Cynet的研究人员在博客中解释道。
尽管该漏洞的CVSS评分为10.0,是在Microsoft 于8月发布补丁程序时首次向公众披露的 ,但在上周研究人员发布了该漏洞的技术细节和概念证明之后,该漏洞引起了人们的关注。
美国网络安全和基础设施安全局(CISA)与印度和澳大利亚政府机构一起发布了紧急指令,指示联邦机构立即修补Windows Server上的Zerologon漏洞。
“通过发送大量的Netlogon消息,其中的各个字段都填充了零,未经身份验证的攻击者可以更改存储在AD中的域控制器的计算机密码。然后,该密码可用于获取域管理员凭据,然后还原原始的DC密码。”
Secura表示,可以按以下顺序利用上述缺陷:
- 欺骗客户凭证
- 禁用RPC签名和密封
- 欺骗电话
- 修改电脑的AD密码
- 更改域管理员密码
“ CISA已确定此漏洞对联邦民政执行部门构成了无法接受的风险,需要立即采取紧急措施。”
CISA建议:“如果无法更新受影响的域控制器,请确保将其从网络中删除。”
此外,Samba(用于Linux系统的SMB网络协议的实现)的4.7版及更低版本也容易受到Zerologon漏洞的攻击。现在,还发布了此软件的补丁程序更新。
除了解释问题的根本原因之外,Cynet还发布了一些关键工件的详细信息,这些工件可用于检测对漏洞的主动利用,包括lsass.exe内存中的特定内存模式以及lsass.exe之间的流量异常高峰。
“记录最多的工件是Windows事件ID 4742’计算机帐户已更改’,通常与Windows事件ID 4672’分配给新登录的特殊特权’结合在一起。”
为了让Windows Server用户快速检测到相关攻击,专家还发布了YARA规则,该规则可以检测在部署之前发生的攻击,而对于实时监视,还可以下载一个简单的工具 。
但是,要完全修补此问题,用户仍然建议尽快安装Microsoft的最新软件更新。
*编译:Domino
*来自:thehackernews