立即修复!微软史上最严重漏洞之一 Netlogon 细节被公开,三秒接管企业网络 – 作者:奇安信代码卫士

很多人可能并未注意到微软在上周修复了史上最严重的漏洞之一。攻击者可滥用该漏洞轻松接管在企业网络中当作域名控制器运行的Windows Servers

微软在8月补丁星期二中修复了该漏洞 CVE-2020-1472。微软将其描述为用于域名控制器用户认证协议的Netlogon 中的提权漏洞。虽然该漏洞的CVSS 评分为满分10分,但细节从未公开过,也就是说用户和IT 管理员从未意识到该漏洞的严重程度有多高。

利用多个 0字符接管域名控制器

不过,荷兰安全公司 Secura B.V. 发布博客文章,解开了该漏洞的神秘面纱并公开了详细的细节报告。报告指出,该漏洞确实值得上 CVSSv3 满分10分的评估。

报告将该漏洞称为“Zerologon”,它利用的是用于Netlogon 认证流程中的一个弱加密算法。

该漏洞可导致攻击者操纵 Netlogon 认证流程并:

  • 在尝试认证域名控制器时,伪造网络上任何计算机的身份

  • 禁用 Netlogon 认证流程中的安全功能

  • 更改域名控制器活动目录(加入某个域名的所有计算机及其密码的数据库)上的计算机密码

该漏洞之所以被命名为“Zerologon”是因为攻击是通过在某些 Netlogon 认证参数中添加多个0字符完成的。

图片[1]-立即修复!微软史上最严重漏洞之一 Netlogon 细节被公开,三秒接管企业网络 – 作者:奇安信代码卫士-安全小百科

整个攻击的速度非常快,最高不过三秒钟。另外,关于攻击者如何使用 Zerologon 攻击的次数不受限制。例如,攻击者可以伪装成域名控制器本身并更改其密码,导致黑客能够接管整个企业网络。

三秒接管企业网络

不过,关于如何利用Zeologon 攻击具有限制条件。它无法用于从网络外部接管 Windows Servers。攻击者首先需要在网络中站稳脚跟。

然而,如符合这一条件,则被攻击企业则束手无策。

研究人员指出,“攻击的影响巨大。它实际上可导致位于本地网络上的任意攻击者(如恶意内鬼或将设备插入本地网络端口的人)完全攻陷 Windows 域名。”此外,该漏洞还备受恶意软件和勒索软件团伙的青睐,它们通常首先感染公司网络中的一台计算机,然后传播到其它机器。而借由 Zerologon 漏洞,这个任务异常简化。

补丁已发布

但对于微软而言,修复 Zerologon 并非易事,因为该公司必须修改数十亿设备连接到企业网络的方式,实际上破坏了无数企业的操作。

这个打补丁的过程原定分两个阶段完成。第一个阶段是在上个月完成,当时微软发布了临时修复方案。该临时补丁使得 Netlogon 安全功能(Zerologon 禁用)成为所有 Netlogon 认证的强制步骤,从而破解 Zerologon 攻击。

尽管如此,更复杂的补丁原定于2021年2月完成,以免攻击者找到绕过8月补丁的绕过方式。遗憾的是,微软认为后一阶段的补丁可能会导致某些设备认证失败。

鉴于该漏洞的严重程度之高,影响力之广泛,对攻击者的好处之大,它一定会遭利用。

虽然 Secura 公司并未发布可武器化 Zerologon 攻击的 PoC 代码,但该公司认为报告发布后很快就会出现 PoC。确实,现在可武器化的 PoC 代码已出现,因此该漏洞的窗口期已开放。另外,该公司发布了 Python 脚本,帮助管理员查看域名控制器是否已得到正确修复。

完整报告请见:https://www.secura.com/pathtoimg.php?id=2055

原文链接

https://www.zdnet.com/article/zerologon-attack-lets-hackers-take-over-enterprise-networks/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

来源:freebuf.com 2020-09-15 09:38:00 by: 奇安信代码卫士

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论