微软修复了历史上最严重的安全漏洞之一

2020-09-23 20:22:09【来源:中国大同网

在8月的微软补丁日,微软修复了历史上最严重的安全漏洞之一CVE-2020-1472。漏洞CVSS评分为10分。该漏洞是域控制器身份验证协议netlogon中的权限提升漏洞,攻击者可以利用该漏洞来接管企业网络中用作域控制器的windows服务器。

漏洞细节

9月11日,securab.v研究人员发布了一份关于CVE-2020-1472漏洞的白皮书,深入分析了该漏洞的技术细节。该漏洞被称为零漏洞,它利用了Netlogon协议身份验证过程中密码算法的不安全性。该漏洞被命名为zerologon,因为攻击是通过在特定的netlogon身份验证参数中添加0个字符来实现的,如下图所示:

伪装为网络中任何计算机的身份以验证域控制器

禁用netlogon身份验证过程的安全功能

修改域控制器活动目录中计算机的密码。

整个攻击速度非常快,持续时间可达3秒。此外,攻击者使用零点攻击没有限制。例如,攻击者可以伪装域控制器并修改密码以接管整个企业网络。

但使用零点攻击是有限制的。对于初学者来说,它不能用于在网络之外接管Windows服务器。攻击者首先需要在网络中站稳脚跟,然后才能完全入侵整个windows域。

此外,该漏洞对于恶意软件和敲诈软件非常有用,因为这些漏洞通常是通过感染公司网络中的一台计算机传播到其他计算机上的。有了零点,整个攻击就会更加容易。

补丁

解决零点漏洞对微软来说并不容易,它必须改变连接到企业网络的数十亿设备的连接方式,这会影响无数企业的正常运作。

修补程序分为两个步骤。第一步是微软上个月发布的零点漏洞的临时修补程序。临时修补程序支持所有netlogon身份验证的安全功能,并设置为必需的项,有效地阻止了零点漏洞的利用。第二步是完整的修补程序,计划于2021年2月发布。微软表示,完整的修补程序可能会影响某些设备的认证,请参阅https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/cve-2020-1472。

考虑到该漏洞的影响,Secura没有释放易受攻击的POC代码。相反,我选择发布python脚本以帮助管理员确定域控制器是否被正确修复。有关脚本下载地址,请参阅:https://github.com/securabv/cve-2020-1472/。

但是后来其他研究人员发布了用于武器化漏洞的poc代码,这意味着漏洞窗口是打开的,漏洞poc代码可以在https://github.com/dirkjanm/cve-2020-1472.上找到。

有关漏洞的更多技术细节,请参见报告:https://www.secura.com/pathtoimg.php?id=2055

Copyright © 2009-2020 , All Rights Reserved. 中国大同网 版权所有
互联网资讯信息服务许可证: 网站备案编号:
联系方式:2820-8476-56