微軟將默認啟用域控制器 “強制模式” 來緩解威脅

從2月9日開始，Microsoft將默認啟用域控制器“強制模式”以解決CVE-2020-1472。

對于尚未更新其系統以解決嚴重Zerologon漏洞的公司，Microsoft會自己處理。默認情況下，這家科技巨頭將很快阻止可用于利用此漏洞的設備上的易受攻擊的連接。

從2月9日開始，微軟表示將默認啟用域控制器“強制模式”，這將有助于緩解威脅。

Microsoft Active Directory域控制器是Zerologon漏洞的核心。域控制器響應身份驗證請求并驗證計算機網絡上的用戶。成功利用此漏洞后，未經身份驗證的攻擊者就可以通過網絡訪問域控制器，從而完全破壞所有Active Directory身份服務。

微軟工程部副總裁Aanchal Gupta在周四的帖子中說，域控制器強制實施模式“將阻止來自非兼容設備的易受攻擊的連接。” “ DC強制實施模式要求所有Windows和非Windows設備都使用帶有Netlogon安全通道的安全RPC，除非客戶通過為不兼容的設備添加例外明確允許該帳戶受到攻擊。”

安全RPC是一種身份驗證方法，可以對主機和正在請求服務的用戶進行身份驗證。

這種新的實現是一種嘗試阻止網絡犯罪分子獲得對域控制器的網絡訪問權，他們可以利用這一點來對Zerologon權限提升漏洞(CVE-2020-1472)進行攻擊。Microsoft 2020年8月的安全更新中首次解決了該漏洞，其嚴重嚴重性CVSS評分為10/10 。但是從9月開始，至少有四個針對該漏洞的公開概念驗證（PoC）漏洞以及相關漏洞的 技術細節已在Github上發布。

新網絡技術公司(NNT)的首席技術官Mark Kedgley說，這種強制模式“是一個值得歡迎的舉措，因為它是一個潛在的破壞性漏洞。“通過默認設置，很明顯，將其置于打開狀態太危險了。給每個人的信息是經常和定期打補丁，并確保你的安全配置構建標準是最新的[互聯網安全中心]或[安全技術實施指南]建議。”

在過去的幾個月中，Zerologon變得越來越嚴重，因為一些威脅參與者和高級持續威脅（APT）團體針對該漏洞進行了封鎖，其中包括中國支持的APT Cicada和MERCURY APT團體等網絡犯罪分子。

Digital Shadows的網絡威脅情報分析師Ivan Righi說：“報告的漏洞在披露漏洞后的兩周內就開始發生。” “還觀察到APT10（又名蟬，大熊貓和Cloud Hoppe）在2020年11月利用Zerologon瞄準日本公司。”

在漏洞利用程序發布后，美國政府還介入召集組織進行更新，DHS發布了一項罕見的緊急指令，命令聯邦機構在9月21日之前修補Windows Server的漏洞。

Gupta表示，組織可以采取四個步驟來避免嚴重漏洞：將域控制器更新為2020年8月11日或更晚發布的更新；查找哪些設備正在建立易受攻擊的連接（通過監視日志事件）；解決那些建立脆弱連接的不合規設備；并啟用域控制器強制實施。

“考慮到該漏洞的嚴重性，建議盡快使用最新的安全補丁更新所有域控制器，” Righi告訴Threatpost。