亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

近日，安全公司Secura針對(duì)一個(gè)剛修補(bǔ)不久的Windows漏洞（CVE-2020-1472）開發(fā)了一個(gè)概念驗(yàn)證利用程序——Zerologon，可以“三秒內(nèi)”接管企業(yè)內(nèi)網(wǎng)的司令部——Active Directory域控制器，“呵護(hù)”所有聯(lián)網(wǎng)計(jì)算機(jī)。

CVE-2020-1472是Netlogon遠(yuǎn)程協(xié)議（MS-NRPC）中的一個(gè)特權(quán)提升漏洞，被微軟評(píng)定為危險(xiǎn)級(jí)別最高的“高危漏洞”，CVSS(常見漏洞評(píng)分系統(tǒng))評(píng)分為滿分10分。要想利用該漏洞，攻擊者必須在目標(biāo)網(wǎng)絡(luò)中找到立足點(diǎn)，通過沒有特權(quán)的內(nèi)部人員，或者對(duì)聯(lián)網(wǎng)設(shè)備的入侵。該漏洞使攻擊者可以操縱Netlogon的身份驗(yàn)證過程，進(jìn)行以下操作：

• 可模擬網(wǎng)絡(luò)上任何計(jì)算機(jī)的身份通過域控制器的身份驗(yàn)證
• 在Netlogon身份驗(yàn)證過程中禁用安全功能
• 更改域控制器的Active Directory上的計(jì)算機(jī)密碼（所有加入域的計(jì)算機(jī)的數(shù)據(jù)庫(kù)及其密碼）

受漏洞影響的Windows Server版本（對(duì)Active Directory域控制器服務(wù)器來說尤其危險(xiǎn)） 圖表：奇安信威脅情報(bào)中心

雖然微軟8月11日為CVE-2020-1472發(fā)布了補(bǔ)丁程序，但這并非麻煩的終結(jié)，而是開始。

Secura的研究人員在本周一發(fā)布了該漏洞的詳細(xì)技術(shù)信息僅幾個(gè)小時(shí)后，一些PoC漏洞利用/工具就已在GitHub上發(fā)布，這對(duì)那些尚未修補(bǔ)該漏洞的企業(yè)來說，構(gòu)成極大威脅，可以使用Secura研究人員發(fā)布的這個(gè)Python腳本（https://github.com/SecuraBV/CVE-2020-1472），檢查域控制器是否易受攻擊。

三秒攻擊：任何人都可以成為管理員

對(duì)于勒索軟件或間諜軟件的攻擊者而言，該漏洞可謂價(jià)值連城。因?yàn)橥ǔ碚f，攻擊者誘使員工點(diǎn)擊電子郵件中的惡意鏈接和附件感染端點(diǎn)相對(duì)容易，但是進(jìn)一步的提權(quán)和橫向移動(dòng)并獲取高價(jià)值信息則困難的多。

通常，攻擊者可能需要數(shù)周或數(shù)月的時(shí)間才能將低級(jí)特權(quán)升級(jí)為安裝惡意軟件或執(zhí)行命令所需的特權(quán)。而使用Zerologon漏洞利用程序，攻擊者“只需不到三秒”可以立即獲得對(duì)Active Directory的控制，在企業(yè)網(wǎng)絡(luò)中為所欲為、予取予求，例如，將新計(jì)算機(jī)添加到網(wǎng)絡(luò)或用自己偏愛的惡意軟件感染每臺(tái)計(jì)算機(jī)。

Secura的研究人員在上周五發(fā)布的白皮書（https://www.secura.com/blog/zero-logon）中寫道：“這種攻擊產(chǎn)生了巨大的影響。”“它使本地網(wǎng)絡(luò)上的任何攻擊者（例如惡意內(nèi)部人員或任何有機(jī)會(huì)將設(shè)備接入內(nèi)部網(wǎng)絡(luò)端口的人）能完全破壞Windows域。攻擊者甚至不需要任何用戶賬戶憑據(jù)。”

Secura研究人員發(fā)現(xiàn)了此漏洞并將其報(bào)告給微軟，并表示已開發(fā)出一種可以可靠運(yùn)行的漏洞利用程序，但由于存在風(fēng)險(xiǎn)，他們只有在確信Microsoft的補(bǔ)丁已廣泛安裝在易受攻擊的服務(wù)器上，然后才發(fā)布此漏洞。但是，研究人員警告說，使用Microsoft的補(bǔ)丁程序逆向開發(fā)漏洞利用并不難。

但是，面對(duì)如此誘人的“營(yíng)銷機(jī)會(huì)”，其他安全公司的獨(dú)立研究人員自然不會(huì)坐失良機(jī)，紛紛發(fā)布了自己的概念驗(yàn)證攻擊代碼，例如：

• https://github.com/risksense/zerologon/
• https://github.com/blackarrowsec/redteam-research/blob/master/CVE-2020-1472/CVE-2020-1472.py
• https://github.com/bb00/zer0dump

漏洞利用代碼的很快引起了美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局的關(guān)注，該機(jī)構(gòu)致力于改善政府網(wǎng)絡(luò)安全。周一，Twitter也炸鍋了，各界安全人士對(duì)該漏洞的巨大威脅紛紛發(fā)表評(píng)論。

“Zerologon（CVE-2020-1472），有史以來最瘋狂的漏洞！”一位Windows用戶寫道。攻擊者可立即通過未經(jīng)身份驗(yàn)證的網(wǎng)絡(luò)訪問來獲得域管理員特權(quán)。”

“還記得有關(guān)最小訪問權(quán)限安全原則可以緩解設(shè)備被入侵嗎？是否有幾個(gè)盒子被偽裝都沒關(guān)系嗎？”安全公司ZecOps的創(chuàng)始人兼首席執(zhí)行官Zuk Avraham寫道。“哦，好吧……CVE-2020-1472/#Zerologon基本上會(huì)改變您的想法。”

“企業(yè)被攻擊后，如果清理和恢復(fù)工作遺漏了任何其他惡意腳本，攻擊者依然可以利用此漏洞在整個(gè)組織中部署勒索軟件并長(zhǎng)期駐留”Tenable安全響應(yīng)經(jīng)理Ryan Seguin指出。

利用與緩解

Zerologon通過在Netlogon身份驗(yàn)證參數(shù)中添加一串?dāng)?shù)字“0”作為參數(shù)來實(shí)施攻擊（下圖）。

Windows服務(wù)器依靠Netlogon協(xié)議執(zhí)行各種任務(wù)，包括允許最終用戶登錄網(wǎng)絡(luò)。只要攻擊者能夠與易受攻擊的域控制器建立TCP連接，未經(jīng)身份驗(yàn)證的人就可以使用該漏洞獲取域管理賬戶憑據(jù)。

該漏洞源于Windows實(shí)施的AES-CFB8，具體來說是使用帶有密碼反饋的AES加密協(xié)議來加密和驗(yàn)證內(nèi)網(wǎng)中傳輸?shù)纳矸蒡?yàn)證消息。

AES-CFB8正常工作的前提是為每個(gè)消息隨機(jī)生成一個(gè)唯一的初始化向量。但Windows沒能遵守此要求。Zerologon通過在Netlogon消息的特定字段中填充數(shù)字“0”來利用此漏洞（下圖）。Secura在另外一篇文章中深入探討了漏洞的原因以及利用此漏洞的五步方法。

圖片：Secura

微軟在一份聲明指出：安裝八月份發(fā)布的補(bǔ)丁程序的系統(tǒng)可以免受攻擊，因?yàn)檠a(bǔ)丁會(huì)對(duì)域中的所有Windows服務(wù)器和客戶端強(qiáng)制執(zhí)行安全的NRPC。用戶應(yīng)該更新所有Active Directory域控制器，包括只讀域控制器。

微軟解釋說：“這些更新將使域控制器（DC）在默認(rèn)情況下能夠保護(hù)Windows設(shè)備，記錄不兼容設(shè)備發(fā)現(xiàn)的事件，并可以選擇為所有加入域的設(shè)備啟用保護(hù)，但有明確的例外。”

但是，在企業(yè)部署域控制器（DC）強(qiáng)制模式之后，將需要進(jìn)行徹底的修復(fù)，該模式要求所有Windows和非Windows設(shè)備都使用安全的NRPC或通過為任何不兼容的設(shè)備添加例外來明確允許該賬戶。

當(dāng)前，企業(yè)可以手動(dòng)通過啟用特定的注冊(cè)表項(xiàng)立即部署DC強(qiáng)制實(shí)施模式，2021年2月9日后，DC將自動(dòng)置于強(qiáng)制執(zhí)行模式。強(qiáng)制執(zhí)行模式分兩個(gè)階段的原因主要有兩個(gè)，一方面Netlogon遠(yuǎn)程協(xié)議的非Windows設(shè)備實(shí)現(xiàn)需要時(shí)間，此外，實(shí)現(xiàn)兼容的供應(yīng)商也需要足夠的時(shí)間為客戶提供所需的更新。

對(duì)于Zerologon漏洞利用的危害性，安全專家們?cè)谏缃幻襟w上展開了熱議。一位專家認(rèn)為關(guān)于該漏洞的危害有些聳人聽聞，因?yàn)橹灰粽咴趦?nèi)網(wǎng)中獲得立足之地，游戲就已結(jié)束。

但也有專家反駁說，該論點(diǎn)與縱深防御原則背道而馳，縱深防御原則主張建立多層防御，通過冗余防護(hù)來緩解入侵后的攻擊。

值得注意的是，由于管理員們對(duì)安裝可能影響網(wǎng)絡(luò)組件（如域控制器）的補(bǔ)丁更新非常謹(jǐn)慎，因此CVE-2020-1472補(bǔ)丁未能及時(shí)安裝產(chǎn)生的風(fēng)險(xiǎn)要更大一些。強(qiáng)烈建議存在該漏洞的企業(yè)高度重視并盡快安裝補(bǔ)丁程序。

參考資料

CVE-2020-1472漏洞補(bǔ)丁與建議：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

Microsoft NetLogon遠(yuǎn)程特權(quán)提升漏洞（CVE-2020-1472）通告：

https://mp.weixin.qq.com/s/nRKuFAD-ev9k5icUmYdkvg