本文通过相关资料的翻译和整理,回顾了Netlogon漏洞的危害和教训,以及当初被忽视的原因,可以提供一些参考相关漏洞的披露和保护指南。参考和借鉴。漏洞CVE-2020-1472(也被业界称为“Zerologon”)在2020年8月11日星期二首次发布时的CVSS评分为8.8。这是一个提权漏洞的高分,但不是足以使其成为全球企业安全管理人员的首要任务。但当天晚些时候,微软修改了它的更新并给它CVSS评分10.0。“微软安全团队必须找到更多信息才能将分数提高到10.0,这对于特权升级漏洞来说是非常罕见的,”Tenable研究员ClaireTills说。最初,Zerologon漏洞并未引起广泛关注。.但在接下来的几个月里,Netlogon漏洞迅速成为各大安全团队关注的焦点。该漏洞不仅成为高级持续性威胁(APT)工具包的常见组成部分,还导致美国网络安全和基础设施安全局(CISA)针对该漏洞发出特别警报,随后又增加了一项紧急指令,要求其国内管理机构部门和机构尽快应用补丁修复漏洞。Tills假设其原因是自动抓取“周二补丁”摘要的用户收到的信息表明CVSS得分为8.8而不是10.0。寻找最高优先级漏洞的安全团队可能错过了微软的CVSS评分修订和升级更新,将它们定义为“更有可能被利用”。然而,许多安全专家已经注意到了Zerologon漏洞的危险性,而引起研究人员广泛关注的关键因素是它存在于Netlogon协议中。事实上,很多攻击者喜欢应用像Netlogon这样的无处不在的协议,因为他们知道目标企业很有可能会启用这个功能,他们正在寻找一个能让他们事半功倍的漏洞。如果今天发布CVE-2020-1472,相信一定会引起更多的关注。然而,在2020年7月中旬至9月中旬期间,甲骨文、Adobe、微软密集发布了众多安全补丁,修复了800多个安全漏洞。当有关漏洞的信息铺天盖地时,疏忽是不可避免的。我们一直在谈论警报过载,而Zerologon的疏忽就是一个典型的例子,由于有关漏洞的信息有限,再加上同时发出多个其他威胁警报,安全人员无法区分警告和警告之间的区别噪音,而且很难掌握最关键的信息,最终导致Zerologon漏洞被忽略了长达一个月之久。攻击者手中的武器是NetLogon组件,它是Windows上的一个重要功能组件。它用于域内网络上的用户和机器的身份验证,以及用于域控制备份的复制数据库。域与域控制器、域DC与跨域DC的关系。当攻击者使用Netlogon远程协议(MS-NRPC)建立到域控制器的易受攻击的Netlogon安全通道时,存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络设备上运行经特殊设计的应用程序。这种攻击具有巨大的影响:它基本上允许本地网络上的任何攻击者(例如恶意内部人员等)完全破坏Windows域,并且攻击完全未经身份验证,攻击者不需要任何用户凭据。Zerologon对攻击者具有吸引力的另一个原因是它可以插入各种攻击链。网络罪犯可以通过各种方式劫持联网计算机,例如使用钓鱼邮件、供应链攻击,甚至通过办公区为来访者提供的空网线插座进行攻击,或者通过其他CVE获得初始访问权限。微软的Zerologon补丁分为两部分,它的更新修改了Netlogon处理Netlogon安全通道使用的方式。该修复程序为域中的所有Windows服务器和客户端强制执行安全NRPC,从而打破了利用过程的第二步。微软缓解措施的第二部分于2月发布,该公司警告管理员,它将启用“强制模式”以阻止来自不合规设备的易受攻击的连接。事实上,在当时荷兰网络安全公司Secura的安全专家TomTervoort发布了一份针对Zerologon漏洞的技术白皮书后不久,研究人员就开始编写自己的概念验证(PoC)。几天之内,GitHub上至少提供了四个展示如何利用该漏洞的开源代码示例。这加快了公司修复漏洞的速度,并促使CISA发布警报和紧急指令。不幸的是,公开的PoC不仅引起了信息安全专家的注意,也引起了网络犯罪团伙的注意。2020年10月上旬,微软报告了中东APT组织Mercury试图利用Zerologon漏洞。该组织一直以政府机构为目标,尤其是在中东,并且在长达2周的时间里一直在利用现实世界中的漏洞进行攻击。三天后,微软披露了另一起威胁组织TA505滥用Zerologon漏洞的案例。据悉,该组织利用该漏洞的方式包括将恶意软件伪装成软件更新包,以及利用MSBuild[.]exe在受感染计算机上编译攻击工具。此外,开发勒索软件Ryuk的黑客组织还利用Zerologon漏洞,在5小时内成功感染了一家企业的整个本地网络。据悉,该组织向一名员工发送了一封钓鱼邮件。钓鱼邮件被点击感染计算机后,利用Zerologon漏洞入侵企业网络,向网络中所有服务器和工作站分发可执行勒索软件。从那以后,微软收到了更多受该漏洞影响的客户的报告。截至2021年7月,CISA研究报告数据显示,Zerologon已成为2020年以来被利用最多的安全漏洞之一。漏洞更新中的缺陷攻击者根据研究人员发布的PoC快速发起活动的情况并不少见。但另一方面,我们也看到很多防御者开始加紧部署操作。由于Zerologon的评分从8.8升级到10.0只是在bug的修订历史中披露,直到一个月后Tervoort的技术白皮书发布后,该bug才引起广泛关注。在这长达一个月的时间里,各种威胁组织都在争先恐后地开发漏洞利用代码,积极进行攻击。如果微软能够首先更深入地传达分数变化,防御者可能会有更准确的数据来确定补丁的优先级。尽管微软在漏洞披露方面一直受到广泛质疑,其最近披露的PrintSpooler漏洞也存在类似CVE变化的问题,但安全专家认为,需要提高漏洞信息透明度的公司不只微软一家。虽然微软去年年底从漏洞披露中删除了执行摘要,消除了有关如何定位漏洞的信息,但它仍然提供了CVE的修订历史,这是其他供应商没有的。安全专家表示,系统供应商需要在他们的安全公告中提供更多的透明度。拥有更详细的信息可以帮助防御者确定补丁的优先级并更好地防御威胁。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
