Zerologon漏洞对域控制器的安全造成了威胁

Netlogon协议中的CVE-2020-1472漏洞(又称Zerologon)导致攻击者劫持域控制器。

微软公司在八月份发布补丁程序时修补了几个安全漏洞,其中包括CVE-2020-1472,这个有关Netlogon协议的漏洞的安全级别为”高危”(通用漏洞评分达到了最大值10.0分)。毫无疑问它会造成一系列威胁,而就在前两天,漏洞的发现者安全研究员Tom Tervoort,发布了一份详细的漏洞报告,分析解释了这个称为Zerologon的漏洞为何如此危险,以及如何使用它劫持域控制器。

何为Zerologon

CVE-2020-1472实质上是由Netlogon远程协议加密认证机制中的错误所导致。该协议对基于域的网络中的用户和机器进行认证,它也被用于远程更新计算机密码。攻击者可以通过此漏洞伪装成一台客户计算机并替换域控制器(控制整个网络并运行目录服务的服务器)的密码从而获取域管理员权限。

哪些系统存在安全隐患?

CVE-2020-1472让那些使用Windows域控制器的公司暴露在安全风险之下,攻击者可以劫持以下版本的域控制器:所有版本的Windows Server 2019,Windows Server 2016,Windows Server版本1909/1903/1809,Windows Server 2012 R2,Windows Server 2012和Windows Server 2008 R2 Service Pack 1。网络不法分子们需要先渗透进入企业网络才能发动攻击,然而这并非难事,之前出现过各种先例,其中包括内部攻击和通过公司公共场所的以太网插口进行渗透等等。

幸运的是,目前Zerologon还没有被用在真实攻击中(至少我们还没有收到任何报告)。不过Tervoort的安全报告很可能引起网络攻击者的注意,尽管安全研究人员并没有公布成功的概念证明,但是毫无疑问攻击者可以通过分析补丁程序创造出攻击程序。

如何防御来自Zerologon的攻击

微软公司已经在今年八月初发布了所有受影响系统的补丁程序,所以你应该尽快安装补丁程序。除此之外,微软还建议企业监控一切通过不安全版本协议进行的登录尝试,并找出不支持新版本协议的设备。理想情况下,应该将域控制器设置为特定的模式,在这种模式中所有设备都使用安全版本Netlogon协议。

这次的更新并不会强制这一要求,因为Netlogon远程协议并不只是被用于Windows系统中,许多基于其他操作系统的设备也依赖于该协议,如果强制使用的话,一些设备可能无法正常运行。

不过,从2021年2月9日开始,域控制器将被要求使用这种模式(比如强制所有设备使用安全版本的Netlogon协议),所以系统管理员需要提前解决第三方设备符合规定的问题,要么更新设备系统,要么将他们加入例外列表中。如果想查看更多有关八月份补丁程序的内容以及二月份即将到来的变化,请阅读这篇微软公司发布的文章

提示