Zerologon漏洞風險有多大？臺資安業者警示駭客可輕易在3秒入侵AD主機，微軟也已偵測到實際攻擊活動

在9月上旬，安全廠商Secura研究人員Tom Tervoort揭露編號CVE-2020-1472的Zerologon漏洞，該漏洞微軟已在8月安全更新中提供暫時緩解的修補，微軟並說明，完整修補可能要等到明年第一季，但不能被忽視的是，企業是否都有重視此漏洞並修補，因為，該漏洞可輕易讓駭客攻入企業Windows Active Directory（AD）網域伺服器，在9月下旬，更是已有相關自動化攻擊與攻擊活動出現。

關於Zerologon漏洞的嚴重性，不僅是因為它達到CVSS 3.0風險評分的滿分（10分），同時，也是針對微軟Netlogon遠端協定（Netlogon Remote Protocol，MS-NRPC）的身分驗證繞過漏洞，影響範圍極大，因此美國國土安全部在9月18日也發出緊急指令（Emergency Directive），要求該國政府機關在21日午夜之前，針對所有具有網域控制器（Domain Controller）權限的Windows伺服器，完成修補，並在23日午夜之前送交報告，也就是盡快確認機關都做好修補，防範日後可能將面臨的威脅。

月初揭露的編號CVE-2020-1472的Zerologon的漏洞，美國官方已表現出對該漏洞極高的重視程度，他們的國土安全部已下令該國政府機關修補並回報。

臺資安業者呼籲國內企業及政府需重視修補

關於Zerologon漏洞的風險，臺灣資安業者奧義智慧在9月22日也發出解析與警示，指出該漏洞將能使駭客在短短3秒鐘，就能駭入企業AD伺服器。

在他們對此漏洞的解析中，提到他們的重大發現，在不到一天時間內就出現了不少針對上述漏洞的自動化攻擊程式，包括相關Mimikatz模組、以及PowerShell攻擊腳本等，並已公開在網路上，這意謂著，APT組織將可能大量利用來發動網路攻擊。

從奧義揭露的資訊來看，不論是自動化攻擊工具的出現，以及駭客在極短時間內就可駭入，都再次突顯了該漏洞的風險，也是臺灣企業與政府機關都不容忽視的問題，應該盡快落實安全性更新，並實施資安檢測。

同時，在奧義對於漏洞利用手法的分析中，他們再次簡述了漏洞利用過程及風險，主要是用於驗證使用者帳戶、電腦帳戶等的NetLogon遠端協定，其加密驗證演算法存在漏洞，導致攻擊者可偽造成任意身分，因而登入到網域控制器或修改Windows AD的密碼，而且，攻擊者只要與網域控制站建立TCP連線，不需要加入網域就能利用此漏洞。

對此一事，奧義智慧強調，由於Zerologon（CVE-2020-1472）漏洞及攻擊手法所帶來的危害將會極為嚴重，美國政府官方都已經全面動員積極應對，而臺灣政府與企業也都必須重視此一漏洞修補。而且，奧義智慧指出，每年10月都是臺灣遭受駭客攻擊的高峰時期，若是國內企業忽視這次的漏洞修補，對於APT組織而言等於是「天上掉下來的禮物」，將可以輕易攻破企業資安防禦。

駭客已開始利用此漏洞發動攻擊

更受關注的是，Zerologon漏洞已有實際危害發生。在9月24日9時，微軟在Microsoft Security Intelligence的Twitter帳號發布警示，指出他們已偵測到攻擊活動，未經授權的攻擊者，將可藉由傳送假造的Netlogon驗證令牌，突破加密演算法驗證。而微軟同樣提到，他們也發現遭公開的攻擊程式，已整合在駭客的攻擊行動中。顯然，該漏洞不只是嚴重的風險，已經成為對於企業組織實實在在的威脅。

另外，企業不只是要注意Windows AD的修補，因為這個Zerologon漏洞也會影響用於網路芳鄰架設的Samba。近日，美國網路安全暨基礎架構安全署（CISA）與開源軟體Sabma團隊，也相繼發出警示與公告，而Samba也已在9月18日與22日釋出多個版本的修補更新，呼籲用戶及早更新，升級4.12.7、4.11.13、4.10.18與4.13等最新版本。

關於月初揭露的編號CVE-2020-1472的Zerologon的漏洞，微軟在9月24日在Twitter指出已偵測到鎖定該漏洞的攻擊活動，並也呼籲用戶盡快安裝微軟8月釋出的修補程式。

 不只是Windows AD伺服器，Samba也受到Zerologon的波及，對此，Samba維護小組也在本月18月22日釋出多種版本的修補更新。

在九月初，揭露CVE-2020-1472的Zerologon漏洞的安全廠商Secura，除了呼籲企業用戶儘速修補，同時也在GitHub公布了相關概念驗證（POC）攻擊程式。

對於Zerologon（CVE-2020-1472）漏洞的應對與修復方式，微軟在一個半月前釋出的8月安全更新當中，已有針對 CVE-2020-1472漏洞的修補。當中提供了針對不同 Windows 伺服器版本的修補，包括 KB4565349、KB4565351、KB4566782、KB4571694、KB4571702、KB4571703、KB4571719、KB4571723、KB4571729與KB4571736等。