企業修補Zerologon漏洞實例

關於Zerologon漏洞的影響，除了微軟已在8月11日發布CVE-2020-1472安全性弱點修補因應，後續，我們看到多個軟體平臺也有相關動作，例如，在9月中旬，開源碼檔案伺服器軟體Samba，以及臺灣NAS設備廠商群暉科技，相繼發布了關於Zerologon漏洞的修補公告。

不僅如此，隨著Samba這次的修補，同時也影響到多個Liunx平臺，因此我們在後續這段期間，又陸續看到OpenSUSE、Fedora與Ubuntu等，發布了相關的更新公告。

漏洞存在於通訊協定，因此不只有微軟Windows Server要修補

這次微軟的Netlogon遠端協定的漏洞影響有多大呢？首先，我們看到群暉科技，因為他們在臺灣時間9月17日，已經對旗下Synology Directory Server套件，發布了關於Zerologon的資安公告Synology-SA-20:21，指出這是重大風險，同時釋出相關修補，建議用戶升級至4.4.5-0101以上的版本。

對於這次Samba與群暉為何都受影響的問題，該公司安全事件應變組經理李宜謙表示，由於Samba.org是針對類Unix作業系統與微軟Windows互動的開源實作，而微軟Netlogon遠端協定（MS-NRPC）是Active Directory（AD）伺服器中的核心通訊協定，意即Samba為完成與Windows互動必須實作。

而這次CVE-2020-1472漏洞，因為存在於通訊協定，是通訊協定規格的瑕疵，因此，在這樣的關連之下，不是只有微軟Windows Server受到影響，需要修補，只要是有實作該通訊協定的產品，都需要修補或修改設定檔。舉例來說，有實作AD的網域控制器（Domain Controller），就可能受此弱點影響。

他們同時確認內部IT架構是否受影響，以及評估自家產品風險

特別的是，在我們詢問群暉修補Zerologon漏洞一事之外，他們也提供了身為受影響的設備商與企業用戶，對此漏洞的因應經驗與看法。

以這次事件而言，李宜謙表示，其實涉及了CSIRT與PSIRT的業務範疇。從一開始的掌握漏洞情資，確認內部使用的IT架構是否受影響，再到修正自家產品，迅速釋出安全性更新。

對於多數將微軟AD作為關鍵伺服器的企業而言，面對這樣的資安事件，必須緊急採取應變措施。李宜謙認為，企業若要能夠快速應對，有兩個關鍵因素，一是企業對內部資產的熟悉度，另一是要具備對業界資安資訊的敏銳度。

另一方面，在9月17日，美國電腦網路危機處理暨協調中心（CERT/CC）正式公告弱點資訊，群暉著手確認Zerologon也會影響Samba 4.7以下版本環境，這意謂著也會影響到Synology Directory Server，於是他們立即採取產品安全事件的緊急應變措施，並在24小時內提供更新檔修補。

之所以能及時修補，李宜謙表示，其實他們在8月初此漏洞第一次被揭露時，內部就已著手調查，並評估手上的產品與其密切相關，這是他們CSIRT與PSIRT之間的情資共享。

只不過，當時他們雖然察覺可能有潛在風險，並研究可能的實作方式，但微軟8月的CVE-2020-1472資安公告的細節並不多，因此，直到9月17日CERT/CC公告後，在當日完成修補。

附帶一提的是，對於Synology 的使用者而言，用戶會如何收到修補通知。他說，系統將透過電子郵件及DSM 通知，用戶也可設定套件自動更新功能；此外，在軟體更新發布後，他們的網站上也會有資安公告，供用戶可以透過RSS或電子報方式來接收通知。另外，他們也表示將遵循GDPR規範，目前不會主動監控DSM 使用者軟體更新的狀態。

 相關報導  Zerologon資安風險大解析