微软警告 Zerologon 正在被广泛利用
2分钟读
发表于
阅读我们的披露页面,了解如何帮助 MSPoweruser 维持编辑团队 查看更多
前几天我们报道了 美国国土安全部命令政府网络管理员立即修补他们的 Windows Server 2008 及以上(包括Windows 10 Server)之后 Zerologon漏洞 开始在野外传播。 Zerologon 可以在短短 3 秒内入侵 Windows 服务器。
现在微软加入了电话会议,说:
“微软正在使用 CVE-2020-1472 Netlogon EoP 漏洞(称为 Zerologon)积极跟踪威胁参与者的活动。 我们已经观察到将公共漏洞利用纳入攻击者剧本的攻击。”
Microsoft is actively tracking threat actor activity using exploits for the CVE-2020-1472 Netlogon EoP vulnerability, dubbed Zerologon.微软正在利用CVE-XNUMX-XNUMX Netlogon EoP漏洞(称为Zerologon)的漏洞,积极追踪威胁行为者的活动。 We have observed attacks where public exploits have been incorporated into attacker playbooks.我们已经观察到攻击,其中将公共漏洞利用程序合并到攻击者的剧本中。
— 微软威胁情报 (@MsftSecIntel) 2020 年 9 月 24 日
漏洞利用代码已经被广泛使用近一周了,这使得开发预期。
该漏洞源于Netlogon远程协议所使用的加密身份验证方案中的一个缺陷,该缺陷可用于更新计算机密码。 此缺陷使攻击者可以模拟任何计算机,包括域控制器本身,并代表他们执行远程过程调用。
通过伪造特定Netlogon功能的身份验证令牌,黑客可以调用将域控制器的计算机密码设置为已知值的功能。 之后,攻击者可以使用此新密码来控制域控制器并窃取域管理员的凭据。
CISA已经发布 紧急指令20-04, 指示联邦民政执行部门机构应用2020年XNUMX月的安全更新 (CVE-2020-1472),以将Microsoft的Windows服务器添加到所有域控制器。
CISA 已在 21 月 XNUMX 日星期一之前对政府服务器进行了修补,但也强烈敦促其在州和地方政府、私营部门和美国公众的合作伙伴尽快应用此安全更新。
如果服务器不能立即应用更新,他们会敦促公司从他们的网络中删除相关的域控制器,当然也包括互联网,其他安全研究人员也同意这一点。
请注意所有 Microsoft AD 管理员! 如果你足够疯狂地通过直接的互联网连接来运行你的服务器——你就处于*严重*危险中。 修补 #零登录 像..上个月! https://t.co/sCC2hM0PAj
— Kauto Huopio (@kautoh) 2020 年 9 月 24 日
通过 网易科技