日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

本文通過翻譯整理相關(guān)資料，重新回顧Netlogon漏洞的危害與教訓(xùn)，及其最初被忽視的原因，可以為相關(guān)漏洞的披露與防護提供一定的參考與借鑒。

成都創(chuàng)新互聯(lián)主要從事成都網(wǎng)站設(shè)計、成都網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)恩陽,10多年網(wǎng)站建設(shè)經(jīng)驗,價格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18982081108

漏洞CVE-2020-1472，也被行業(yè)稱為“Zerologon”，在2020年8月11日(周二)首次發(fā)布時的CVSS 評分為8.8。對于特權(quán)提升漏洞來說，這個得分很高，但還不足以使其成為全球企業(yè)安全管理者的最高優(yōu)先級事項。但當(dāng)天晚些時候，微軟修改了它的更新，并將其的CVSS分?jǐn)?shù)定為10.0。Tenable研究人員Claire Tills表示：“微軟安全團隊必然是發(fā)現(xiàn)了更多信息，才將分?jǐn)?shù)提升到了10.0，這對于特權(quán)提升漏洞來說十分罕見?！?/p>

在最初的時候，Zerologon漏洞并沒有引起人們廣泛關(guān)注。但在接下來的幾個月里，Netlogon漏洞迅速成為各大安全團隊的關(guān)注重點。該漏洞不僅成為高級持續(xù)威脅(APT)工具包的常見組成部分，還讓美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)特別發(fā)布了一則以該漏洞為主題的警報，后來又追加了一項緊急指令，要求其國內(nèi)行政部門和機構(gòu)盡快應(yīng)用補丁修復(fù)漏洞。

Tills假設(shè)造成這種情況的原因是自動抓取“周二補丁”摘要的用戶收到的信息表明CVSS分?jǐn)?shù)為8.8，而不是10.0。尋找最高優(yōu)先級漏洞的安全團隊可能錯過了微軟的 CVSS評分修訂以及將其定義為“更有可能被利用”的升級更新。

不過，還是有多位安全專家注意到了Zerologon漏洞的危險性，而引起研究人員廣泛關(guān)注的關(guān)鍵因素就是它存在于Netlogon協(xié)議中。事實上，很多攻擊者喜歡應(yīng)用像Netlogon這樣無處不在的協(xié)議，因為他們清楚地知道目標(biāo)企業(yè)大概率會啟用該功能，而他們也正在尋找一個能讓他們事半功倍的漏洞。

如果CVE-2020-1472是在今天發(fā)布的，相信必然會引發(fā)更大的關(guān)注。但在2020年7月中旬至9月中旬期間，甲骨文、Adobe和微軟集中發(fā)放了眾多安全補丁，修補了超過800個安全漏洞。當(dāng)鋪天蓋地的漏洞信息撲面而來時，疏忽也就在所難免了。

我們一直在談?wù)摼瘓筮^載，Zerologon漏洞疏忽就是一個典型案例，關(guān)于該漏洞的信息有限，再加上同時發(fā)出多個其他的威脅警報，安全人員分不清警告和噪音，難以掌握最關(guān)鍵信息，最終導(dǎo)致了Zerologon漏洞在長達一個月的時間內(nèi)無人問津。

攻擊者手中的利器

NetLogon組件是Windows上一項重要的功能組件，用于用戶和機器在域內(nèi)網(wǎng)絡(luò)上的認(rèn)證，以及復(fù)制數(shù)據(jù)庫以進行域控備份，同時還用于維護域成員與域之間、域與域控之間、域DC與跨域DC之間的關(guān)系。當(dāng)攻擊者使用Netlogon遠程協(xié)議(MS-NRPC)建立與域控制器連接的易受攻擊的Netlogon安全通道時，就會存在特權(quán)提升漏洞。成功利用此漏洞的攻擊者可以在網(wǎng)絡(luò)中的設(shè)備上運行經(jīng)特殊設(shè)計的應(yīng)用程序。

這種攻擊具有巨大的影響：它基本上允許本地網(wǎng)絡(luò)上的任何攻擊者(例如惡意的內(nèi)部人員等)完全破壞Windows域，而且攻擊完全未經(jīng)身份驗證，攻擊者不需要任何用戶憑據(jù)。

Zerologon吸引攻擊者的另一個原因是它可以插入各種攻擊鏈。網(wǎng)絡(luò)罪犯可以通過各種方法劫持聯(lián)網(wǎng)的計算機，例如使用釣魚郵件、供應(yīng)鏈攻擊，甚至能通過辦公區(qū)域內(nèi)為訪客提供的空的網(wǎng)線插口進行攻擊，或是通過其他CVE獲得初始訪問權(quán)限。

微軟的Zerologon補丁分為兩部分，其更新修改了Netlogon處理Netlogon安全通道使用的方式。該修復(fù)對域中的所有Windows服務(wù)器和客戶端強制實施安全NRPC，破壞了漏洞利用過程中的第二步。微軟緩解措施的第二部分于今年2月發(fā)布，該公司警告管理員它將啟用“強制模式”以阻止來自不合規(guī)設(shè)備的易受攻擊的連接。

事實上，當(dāng)時荷蘭網(wǎng)絡(luò)安全公司Secura的安全專家Tom Tervoort發(fā)布了針對Zerologon漏洞的技術(shù)白皮書后不久，研究員們便開始編寫自己的概念驗證程序(PoC)。在幾天內(nèi)，GitHub上就出現(xiàn)了至少4個展示如何利用該漏洞的可用開源代碼示例。這加快了企業(yè)修復(fù)漏洞的步伐，同時也促使CISA發(fā)布警報和緊急指令。

不幸的是，公開后的PoC不僅吸引了信息安全專家的注意，也引起了網(wǎng)絡(luò)罪犯團伙的注意。2020年10月初，微軟報告了某中東地區(qū)APT組織Mercury利用Zerologon漏洞的企圖。該組織一直以政府機構(gòu)(尤其是中東的)為目標(biāo)，并且已經(jīng)在真實攻擊案例中利用該漏洞長達2周的時間。

三天后，微軟又披露了威脅組織TA505對Zerologon漏洞的濫用案例。據(jù)悉，該組織利用漏洞的方式包括將該惡意軟件偽裝成軟件更新包，并濫用MSBuild[.]exe在受到感染的計算機上編譯攻擊工具。

另外，曾開發(fā)了勒索軟件Ryuk的黑客組織也利用Zerologon漏洞在5小時內(nèi)便成功感染一家企業(yè)的整個本地網(wǎng)絡(luò)。據(jù)悉，該組織向一名員工發(fā)送了一封釣魚郵件，待釣魚郵件被點擊并感染計算機后，他們便利用Zerologon漏洞侵入企業(yè)網(wǎng)絡(luò)，向網(wǎng)絡(luò)中所有服務(wù)器和工作站分發(fā)可執(zhí)行的勒索軟件。

在此之后，微軟陸續(xù)收到更多受到該漏洞利用影響的客戶報告。截止2021年7月，CISA研究報告數(shù)據(jù)顯示，Zerologon成為了2020年以來被利用次數(shù)最多的安全漏洞之一。

漏洞更新中的缺陷

攻擊者憑借研究人員發(fā)布的PoC迅速開展攻擊活動的情況并不罕見。但另一方面，我們也看到了許多防御者開始加緊部署行動。由于Zerologon的評分從8.8分升級至10.0分的更新僅在該漏洞的修訂歷史中被披露，因此直到一個月后Tervoort的技術(shù)白皮書發(fā)布時，該漏洞才引起了廣泛關(guān)注。而這長達一個月的時間內(nèi)，各類威脅組織都在爭先恐后地開發(fā)他們的漏洞利用代碼，并積極地開展攻擊活動。如果一開始，微軟能夠在分?jǐn)?shù)變化上做出更深入地溝通，那么防御者將可能會有更準(zhǔn)確的數(shù)據(jù)來確定他們的補丁優(yōu)先級。

雖然微軟公司在漏洞披露方面已經(jīng)被廣泛質(zhì)疑，其最近披露的Print Spooler漏洞也有與CVE更改類似的問題存在，但安全專家認(rèn)為，需要提高漏洞信息透明度的公司并非只有微軟一家而已。雖然微軟在去年年底從漏洞披露中刪除了執(zhí)行摘要，消除了有關(guān)如何瞄準(zhǔn)漏洞的信息，但它仍然提供CVE的修訂歷史，這是其他供應(yīng)商沒有的。

安全專家指出，系統(tǒng)供應(yīng)商需要在他們的安全公告中提供更高的透明度。擁有更詳細的信息可以幫助防御者確定補丁的優(yōu)先級，更好地抵御威脅。

分享題目：一年之后，重新回顧Zerologon漏洞的危害與教訓(xùn)
文章URL：http://www.5511xx.com/article/dppgjhc.html