Windows Zerologon 漏洞PoC遭到公开 – 作者:偶然路过的围观群众-安全小百科

Windows Zerologon 漏洞PoC遭到公开 – 作者:偶然路过的围观群众

研究人员发布了Windows Zerologon CVE-2020-1472漏洞的利用代码，攻击者可利用该漏洞控制Windows域。

在2020年8月周二补丁日安全更新中，Microsoft修复了CVE-2020-1472 Netlogon提权漏洞，该漏洞是个CVSS评分为10的超危漏洞。

成功利用该漏洞，攻击者可将权限提升至域管理员，并接管域。

此后，发现该漏洞的网络安全公司Secura发布了一篇详细的漏洞分析报告，并将该漏洞命名为Zerologon。

滥用加密漏洞

当用户登录某个域上的Windows设备时，它使用PRC上的Netlogon远程协议（MS-NRPC）与域控制器通信和对用户进行身份认证。

如果用户使用正确的凭据登录，域控制器就会告诉设备通过具有适当权限的身份认证。使用错误凭据登陆的用户显然无法登录。

由于身份认证尝试的敏感，Windows通过一个加密的安全RPC连接发送身份认证请求。

Secura的研究人员Tom Tervoort发现，当执行身份认证请求时，有可能迫使域控制器退回到未加密的RPC通信。

在退回到不安全的RPC通信后，Tervoort能够利用Netlogon AES-CFB8加密协商算法中的一个安全漏洞尝试并冒充成功的登录。

在Tervoort的测试中，要成功冒充一次成功的登录，平均需要256次尝试。

该篡改会诱使设备将用户作为域管理员登录到系统。

Zerologon攻击流

一旦攻击者获取了网络上的域管理员权限，他们就获取了域控制器的完全访问权限，可以修改用户密码，和执行他们想要的任意命令。

该漏洞之所以如此可怕，是因为攻击者甚至不需要该域上的合法凭据，就能假冒响应，造成任意登录企图成功。

Tervoort在其对Zerologon的报告中解释道，“尝试登录不需要等待其他用户。相反地，攻击者可以自己登录，假装仅支持NTLM并提供一些非法的密码。他们正在登录的服务会将该NTLM握手转发至域控制器，域控制器会回复一个否定的响应。接着，攻击者可以用假冒的回复（同时包含一个重新计算的会话密钥）替换此条消息，指示该密码是正确的，以及顺便提及正在尝试登录的用户刚好是域管理员团队的成员（意味着他们也拥有目标计算机上的管理权限）。”

当涉及到人类操作的勒索软件攻击时，该漏洞尤其令人担忧，因为它允许在单一工作站上获取一个立足点的攻击者通过一个Windows域完全控制一个网络。

Tervoort警告称，“当攻击者在内部网络中获取了一个立足点时，该漏洞尤其危险，因为它允许提升权限（至本地管理员）和横向移动（在该网络的其他计算机上远程执行代码）。”

Zerologon PoC已公开

Secura的分析报告发布后，许多研究人员发布了PoC利用代码，攻击者可利用该PoC获取脆弱网络上的域管理员权限。

NCC Group的Rich Warren昨天发布了一个PoC。借助该PoC，他在十秒内获取了域管理员权限。

研究人员已经发布了在域控制器上执行类似攻击的其他利用代码。

漏洞尚未完全修复

由于修复Zerologon漏洞会造成一些设备无法正确进行身份认证，Microsoft正在分两个阶段修复该漏洞。

第一个阶段的补丁在8月11日以安全更新的形式发布，该补丁将会阻止Windows Active Directory域控制器使用不安全的RPC通信。

为了给管理员时间修复设备或将设备替换为支持安全RPC的硬件，该更新还会记录来自未使用安全RPC通信的非Windows设备的身份认证请求。

在2021年2月9日，作为周二补丁日更新的组成部分，Microsoft将会发布第二个更新，该更新将会进入强制执行阶段，要求网络上的所有设备使用安全的RPC，除非经过管理员的特别允许。

因此，强烈建议Windows管理员在Active Directory域控制器上部署第一个阶段的补丁，保护网络。