这是一个由于不正确使用加密技术而导致的漏洞的故事。研究人员发现后,漏洞被修补,这本应是故事的结束。不幸的是,这个补丁本身就造成了问题,这使得它非常不受欢迎。网络犯罪分子抓住机会将该漏洞用于自己的目的。这是ZeroLogon的故事。

什么是Zerologon?

ZeroLogon漏洞是由Secura的研究人员发现的,并被列在公共漏洞和暴露(CVE)数据库中CVE-2020-1472:

“使用NetLogon远程协议(MS-NRPC),AKA'NETLOGON漏洞”的NETLOGON高度“,存在攻击者与域控制器建立易受攻击的NETLOGON安全通道连接时,存在权限漏洞的提升。”

此漏洞利用Microsoft的Active Directory Netlogon远程协议(MS-NRPC)中的加密漏洞进行攻击,该协议允许用户登录到使用NTLM(NT LAN Manager)的服务器。研究人员解释说,问题源于AES-CFB8加密的不正确使用,这需要为每个身份验证消息随机生成初始化向量。遗憾的是,Windows没有考虑这一要求。攻击者可以使用零作为初始化向量,使其能够在几秒钟内接管域控制器。

这个漏洞有多糟糕?

很糟糕,这是简短的回答。ZeroLogon已被恶意软件作者成功地武器化,他们使用它对公司端点进行横向感染。老练的三角架特洛伊木马使用Zerologon,这意味着它可以轻松分布在易受攻击的网络上。还可以看到Ryuk Ransomware使用zerologon漏洞。

有补丁吗?

是的,但是有一个“但是”。该漏洞实际上是在2020年8月修补的,直到9月一位研究人员发布了一份关于该漏洞的报告,我们才开始看到它被用于恶意活动。

10月底,微软警告威胁参与者正在积极利用针对ZeroLogon权限升级未修补的系统。

11月Microsoft还向Microsoft Defender添加了检测规则,以“检测到对手,因为他们尝试利用您的域控制器的这种漏洞。”

一般的建议是使用安全rpc.以防止这些攻击。安全RPC是一种身份验证方法,它对请求服务的主机和用户进行身份验证。安全RPC使用Diffie-Hellman身份验证机制,该机制使用DES加密而不是AES-CFB8。

为什么现在还没有针对ZeroLogon进行修补?

修补程序的问题在于,仅更新服务器端(域控制器)是不够的,因为还需要更新客户端才能使协议正常工作。尽管微软为Windows设备发布了补丁,但它并没有为不再受支持的传统操作系统或第三方产品提供解决方案。这意味着强制执行安全RPC可能会中断这些不兼容系统的操作。

那么,下一步是什么?

现在,微软宣布它将强制执行安全RPC。

“从2月9日开始,2021安全更新版本我们将默认情况下启用域控制器强制模式。这将阻止来自不合规设备的易受攻击的连接。DC强制模式要求所有Windows和非Windows设备使用安全RPC与NetLogon Secure Channel,除非客户通过为不合规设备添加异常来明确允许帐户易受攻击。“

读过这篇文章后,你可能会想:“但你说它可能会破坏不兼容的系统!”是的,所以微软已经列出了一个行动清单,将产生一个详细的更新计划。

微软概述的更新计划包括以下操作:

  • 使用2020年8月11日或更高版本发布的更新更新域控制器。
  • 通过监视事件日志,找到哪些设备正在制作易受攻击的连接。
  • 解决产生易受攻击连接的不兼容设备。
  • 使能够在您的环境中解决CVE-2020-1472的实施模式。

这可能意味着对这个故事仍然没有快乐的结局。在许多情况下,解决非投诉设备的声音并不容易。在许多情况下,它将结束sysadmins,为此设备进行异常。然而,建议至少尝试并遵循这些步骤。因为最终它将删除(或至少限制)易受攻击的设备和计算机上的网络。网络犯罪分子不会让这个宝藏很容易。

大家注意安全!