Zerologon:通过破坏 Netlogon 加密技术提升访问权限成为域管理员

Andrew 2020-09-16
专栏 - 观点观察 发布于 2020-09-16 10:27:20 阅读 180 评论 0

企业Windows服务器的管理员必须尽快安装2020年8月补丁程序,以保护其系统免受利用CVE-2020-1472的Zerologon攻击的影响。

CVE-2020-1472漏洞是驻留在Netlogon中的权限提升。该Netlogon服务是Windows客户端身份验证架构,验证登录请求所使用的认证机制,并注册,身份验证和定位域控制器。

“当攻击者使用Netlogon远程协议(MS-NRPC)建立与域控制器的易受攻击的Netlogon安全通道连接时,就会存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络上的设备上运行特制应用程序。” 读取咨询由Microsoft发布的建议。

“要利用此漏洞,将需要未经身份验证的攻击者使用MS-NRPC连接到域控制器以获取域管理员访问权限。”

尽管Microsoft由于该问题的严重性未披露该漏洞的技术细节(CVSSv3评分:10.0),但Secura BV的研究人员发表了对该漏洞的详细分析。

“通过为特定的Netlogon功能伪造一个身份验证令牌,他能够调用一个功能来将域控制器的计算机密码设置为已知值。之后,攻击者可以使用此新密码来控制域控制器并窃取域管理员的凭据。” 阅读Secura发表的帖子。

“该漏洞源于Netlogon远程协议所使用的加密身份验证方案中的一个漏洞,该漏洞可用于更新计算机密码。”

攻击者可能利用此漏洞来假冒任何计算机,包括域控制器本身,并代表它们执行远程过程调用。

攻击者还可能利用此漏洞禁用Netlogon身份验证过程中的安全功能,并更改域控制器的Active Directory上的计算机密码。

“通过简单地发送大量Netlogon消息,其中各个字段都填充了零,攻击者可以更改存储在AD中的域控制器的计算机密码。然后可以使用它来获取域管理员凭据,然后恢复原始的DC密码。” 研究论文总结。

“这种攻击产生了巨大的影响:它基本上允许本地网络上的任何攻击者(例如恶意内部人员或仅将设备插入内部部署网络端口的人)完全破坏Windows域。攻击是完全未经身份验证的”

威胁者可以利用ZeroLogon攻击在目标网络上提供恶意软件和勒索软件。

对如何执行Zerologon攻击的唯一限制是攻击者必须有权访问目标网络。

Secura研究人员发布了一个Python脚本,该脚本使用Impacket库来测试Zerologon攻击的漏洞,管理员可以使用该脚本来确定其域控制器是否仍然易受攻击。

2020年8月补丁程序星期二安全更新仅暂时解决此漏洞,使Netlogon安全功能成为Netlogon身份验证过程所必需的。

微软计划在2021年2月发布完整补丁。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!