微软警告 Zerologon 正在被广泛利用

前几天我们报道了 美国国土安全部命令政府网络管理员立即修补他们的 Windows Server 2008 及以上（包括Windows 10 Server）之后 Zerologon漏洞 开始在野外传播。 Zerologon 可以在短短 3 秒内入侵 Windows 服务器。

现在微软加入了电话会议，说：

“微软正在使用 CVE-2020-1472 Netlogon EoP 漏洞（称为 Zerologon）积极跟踪威胁参与者的活动。 我们已经观察到将公共漏洞利用纳入攻击者剧本的攻击。”

Microsoft is actively tracking threat actor activity using exploits for the CVE-2020-1472 Netlogon EoP vulnerability, dubbed Zerologon.微软正在利用CVE-XNUMX-XNUMX Netlogon EoP漏洞（称为Zerologon）的漏洞，积极追踪威胁行为者的活动。 We have observed attacks where public exploits have been incorporated into attacker playbooks.我们已经观察到攻击，其中将公共漏洞利用程序合并到攻击者的剧本中。

— 微软威胁情报 (@MsftSecIntel) 2020 年 9 月 24 日

漏洞利用代码已经被广泛使用近一周了，这使得开发预期。

该漏洞源于Netlogon远程协议所使用的加密身份验证方案中的一个缺陷，该缺陷可用于更新计算机密码。 此缺陷使攻击者可以模拟任何计算机，包括域控制器本身，并代表他们执行远程过程调用。

通过伪造特定Netlogon功能的身份验证令牌，黑客可以调用将域控制器的计算机密码设置为已知值的功能。 之后，攻击者可以使用此新密码来控制域控制器并窃取域管理员的凭据。

CISA已经发布 紧急指令20-04， 指示联邦民政执行部门机构应用2020年XNUMX月的安全更新 （CVE-2020-1472），以将Microsoft的Windows服务器添加到所有域控制器。

CISA 已在 21 月 XNUMX 日星期一之前对政府服务器进行了修补，但也强烈敦促其在州和地方政府、私营部门和美国公众的合作伙伴尽快应用此安全更新。

如果服务器不能立即应用更新，他们会敦促公司从他们的网络中删除相关的域控制器，当然也包括互联网，其他安全研究人员也同意这一点。

请注意所有 Microsoft AD 管理员！ 如果你足够疯狂地通过直接的互联网连接来运行你的服务器——你就处于*严重*危险中。 修补 #零登录 像..上个月！ https://t.co/sCC2hM0PAj

— Kauto Huopio (@kautoh) 2020 年 9 月 24 日

通过 网易科技