Microsoft警告Zerologon正在被肆意利用

　　Microsoft警告Zerologon正在被肆意利用

　　我们几天前报道了美国国土安全部命令政府网络管理员立即修补他们的WindowsServer2008以及更高版本(包括Windows 10 Server)之后Zerologon漏洞开始在野外传播。Zerologon可以在短短3秒钟内破坏Windows服务器。

　　现在，微软也加入了这一号召，称：

　　鈥淢Microsoft正利用CVE-2020-1472 Netlogon EoP漏洞(称为Zerologon)的漏洞，积极跟踪威胁参与者的活动。我们观察到了一些攻击，其中公开的漏洞被纳入了攻击者的行动手册中

　　微软正利用CVE-2020-1472 Netlogon EoP漏洞(称为Zerologon)积极跟踪威胁参与者的活动。我们观察到了一些攻击行为，其中公共漏洞被纳入了攻击者的剧本中。

　　-Microsoft安全智能(@MsftSecIntel)2020年9月24日

　　漏洞攻击代码已经被广泛使用了近一个星期，这使得开发成为预期。

　　该漏洞源于Netlogon远程协议使用的加密身份验证方案中的一个缺陷，该方案可用于更新计算机密码。此漏洞允许攻击者模拟任何计算机，包括域控制器本身，并代表他们执行远程过程调用。

　　通过伪造特定Netlogon功能的身份验证令牌，黑客可以调用一个函数将域控制器的计算机密码设置为已知值。之后，攻击者可以使用这个新密码来控制域控制器并窃取域管理员的凭据。

　　CISA发布紧急指令20-04，它指示联邦民事行政分支机构申请2020年8月的安全更新(CVE-2020-1472)对于Microsoft的Windows服务器到所有域控制器。

　　CISA已经指导政府服务器在9月21日(星期一)之前进行修补，但也强烈要求它们在州和地方政府、私营部门和美国公众中的合作伙伴尽快应用此安全更新。

　　如果服务器不能立即应用更新，他们会敦促公司从他们的网络中删除相关的域控制器，当然还有互联网，其他安全研究人员也同意这一点。

　　提醒所有微软广告管理员!如果你疯狂到用直接的互联网连接来运行你的服务器，你就有了严重的危险。补丁#Zerologon就像…上个月!https://t.co/sCC2hM0PAj

　　— Kauto Huopio (@kautoh)2020年9月24日