微軟檢測到 Netlogon 漏洞利用

攻擊者正在積極利用微軟上個月披露和修復的Netlogon關鍵漏洞。
該漏洞被稱為“Zerologon”，標記為CVE-2020-1472，其CVSS安全嚴重等級評分為最高級10分。通過利用此漏洞，攻擊者基本上可變身為域管理員，并獲得對企業網絡的訪問權限。它影響受支持的Windows Server操作系統，包括針對ESU客戶的Windows Server 2008和2008 R2。
在上個月的安全更新中，微軟表示他們正在通過“分兩階段發布”來修復此漏洞。第一部分在8月補丁星期二安全更新中，第二階段計劃在2021年第一季度。
在其8月補丁星期二披露Netlogon漏洞到一個月后，微軟證實發現對該漏洞的利用。
微軟安全情報周三在Twitter上寫道：“微軟正在積極追蹤利用CVE-2020-1472 Netlogon EoP漏洞（稱為Zerologon）的攻擊者活動。我們已經觀察到攻擊者開始利用該漏洞發起攻擊。”
本月初，發現該漏洞的信息安全咨詢公司Secura發布了完整的詳細信息和漏洞利用的嚴重性。Secura技術總監Ralph Moonen表示，微軟要求Secura等待三到四個星期，以便他們有時間修復該漏洞。
高級安全專家Tom Tervoort和Moonen在博客文章中寫道：“該漏洞源于Netlogon遠程協議使用的密碼身份驗證機制中的漏洞，該漏洞可用于更新計算機密碼。此漏洞使攻擊者可以模擬任何計算機，包括域控制器本身并代表它們執行遠程程序調用。”
Tenable公司研究工程經理Scott Caveza表示，在Secura的博客文章發布后不久，互聯網上出現了多種概念驗證漏洞利用。
他在給SearchSecurity的電子郵件中說：“在隨后的數小時和數天里，我們看到用于測試和利用此漏洞的腳本數量增加，并且它們繼續在以前的代碼上進行擴展，以添加進一步的自動化和復雜的攻擊方案。我們估計攻擊者會抓住這次機會并開始非常快地利用該漏洞，我們現在看到他們已經開始行動。”
在了解到該漏洞的高風險性后，美國國土安全部網絡安全和基礎設施安全局（CISA）發布了針對機構的緊急指令，其中列出了所需采取的措施。該CISA指令僅適用于具有Active Directory域控制器角色的Windows服務器，他們要求政府機構在9月21日星期一晚上11:59之前安裝Microsoft的8月安全更新。
Moonen表示，即使漏洞很嚴重，用戶也通常不會更新。
他表示：“我們知道，有些客戶會認為，修復程序會帶來破壞，因此應該等待。IT審核員似乎很樂意接受6個月的補丁程序窗口期，雖然這在90年代和00年代初期沒問題，但現在情況已經發生改變。DHS發出緊急指令的事實證明，即使在政府機構內部，對于修復漏洞，也有這種老式想法。”
Caveza表示，基于漏洞利用的速度， Tenable預計該漏洞將成為攻擊者的流行選擇，并將集成到惡意活動中。
他說：“文件名為‘SharpZeroLogon.exe’的惡意.NET可執行文件樣本已上傳到VirusTotal。微軟安全情報已共享了SHA-256哈希樣本，以幫助防御者調查任何被利用的系統。”
與CISA和微軟一樣，Caveza認為管理員應優先考慮盡快修補此漏洞。
SearchSecurity向微軟尋求有關該攻擊活動的評論，但該公司拒絕提供其他詳細信息。
微軟發言人表示：“安全更新已于2020年8月發布。已經安裝此更新或啟用自動更新的客戶將受到保護。”