在9月上旬,安全廠商Secura研究人員Tom Tervoort揭露編號CVE-2020-1472的Zerologon漏洞,該漏洞微軟已在8月安全更新中提供暫時緩解的修補,微軟並說明,完整修補可能要等到明年第一季,但不能被忽視的是,企業是否都有重視此漏洞並修補,因為,該漏洞可輕易讓駭客攻入企業Windows Active Directory(AD)網域伺服器,在9月下旬,更是已有相關自動化攻擊與攻擊活動出現。

關於Zerologon漏洞的嚴重性,不僅是因為它達到CVSS 3.0風險評分的滿分(10分),同時,也是針對微軟Netlogon遠端協定(Netlogon Remote Protocol,MS-NRPC)的身分驗證繞過漏洞,影響範圍極大,因此美國國土安全部在9月18日也發出緊急指令(Emergency Directive),要求該國政府機關在21日午夜之前,針對所有具有網域控制器(Domain Controller)權限的Windows伺服器,完成修補,並在23日午夜之前送交報告,也就是盡快確認機關都做好修補,防範日後可能將面臨的威脅。

月初揭露的編號CVE-2020-1472的Zerologon的漏洞,美國官方已表現出對該漏洞極高的重視程度,他們的國土安全部已下令該國政府機關修補並回報。

臺資安業者呼籲國內企業及政府需重視修補

關於Zerologon漏洞的風險,臺灣資安業者奧義智慧在9月22日也發出解析與警示,指出該漏洞將能使駭客在短短3秒鐘,就能駭入企業AD伺服器。

在他們對此漏洞的解析中,提到他們的重大發現,在不到一天時間內就出現了不少針對上述漏洞的自動化攻擊程式,包括相關Mimikatz模組、以及PowerShell攻擊腳本等,並已公開在網路上,這意謂著,APT組織將可能大量利用來發動網路攻擊。

從奧義揭露的資訊來看,不論是自動化攻擊工具的出現,以及駭客在極短時間內就可駭入,都再次突顯了該漏洞的風險,也是臺灣企業與政府機關都不容忽視的問題,應該盡快落實安全性更新,並實施資安檢測。

同時,在奧義對於漏洞利用手法的分析中,他們再次簡述了漏洞利用過程及風險,主要是用於驗證使用者帳戶、電腦帳戶等的NetLogon遠端協定,其加密驗證演算法存在漏洞,導致攻擊者可偽造成任意身分,因而登入到網域控制器或修改Windows AD的密碼,而且,攻擊者只要與網域控制站建立TCP連線,不需要加入網域就能利用此漏洞。

對此一事,奧義智慧強調,由於Zerologon(CVE-2020-1472)漏洞及攻擊手法所帶來的危害將會極為嚴重,美國政府官方都已經全面動員積極應對,而臺灣政府與企業也都必須重視此一漏洞修補。而且,奧義智慧指出,每年10月都是臺灣遭受駭客攻擊的高峰時期,若是國內企業忽視這次的漏洞修補,對於APT組織而言等於是「天上掉下來的禮物」,將可以輕易攻破企業資安防禦。

駭客已開始利用此漏洞發動攻擊

更受關注的是,Zerologon漏洞已有實際危害發生。在9月24日9時,微軟在Microsoft Security Intelligence的Twitter帳號發布警示,指出他們已偵測到攻擊活動,未經授權的攻擊者,將可藉由傳送假造的Netlogon驗證令牌,突破加密演算法驗證。而微軟同樣提到,他們也發現遭公開的攻擊程式,已整合在駭客的攻擊行動中。顯然,該漏洞不只是嚴重的風險,已經成為對於企業組織實實在在的威脅。

另外,企業不只是要注意Windows AD的修補,因為這個Zerologon漏洞也會影響用於網路芳鄰架設的Samba。近日,美國網路安全暨基礎架構安全署(CISA)與開源軟體Sabma團隊,也相繼發出警示與公告,而Samba也已在9月18日與22日釋出多個版本的修補更新,呼籲用戶及早更新,升級4.12.7、4.11.13、4.10.18與4.13等最新版本。

關於月初揭露的編號CVE-2020-1472的Zerologon的漏洞,微軟在9月24日在Twitter指出已偵測到鎖定該漏洞的攻擊活動,並也呼籲用戶盡快安裝微軟8月釋出的修補程式。

 不只是Windows AD伺服器,Samba也受到Zerologon的波及,對此,Samba維護小組也在本月18月22日釋出多種版本的修補更新

在九月初,揭露CVE-2020-1472的Zerologon漏洞的安全廠商Secura,除了呼籲企業用戶儘速修補,同時也在GitHub公布了相關概念驗證(POC)攻擊程式。

對於Zerologon(CVE-2020-1472)漏洞的應對與修復方式,微軟在一個半月前釋出的8月安全更新當中,已有針對 CVE-2020-1472漏洞的修補。當中提供了針對不同 Windows 伺服器版本的修補,包括 KB4565349、KB4565351、KB4566782、KB4571694、KB4571702、KB4571703、KB4571719、KB4571723、KB4571729與KB4571736等。

熱門新聞

Advertisement