微软检测到 Netlogon 漏洞利用

攻击者正在积极利用微软上个月披露和修复的Netlogon关键漏洞。
该漏洞被称为“Zerologon”，标记为CVE-2020-1472，其CVSS安全严重等级评分为最高级10分。通过利用此漏洞，攻击者基本上可变身为域管理员，并获得对企业网络的访问权限。它影响受支持的Windows Server操作系统，包括针对ESU客户的Windows Server 2008和2008 R2。
在上个月的安全更新中，微软表示他们正在通过“分两阶段发布”来修复此漏洞。第一部分在8月补丁星期二安全更新中，第二阶段计划在2021年第一季度。
在其8月补丁星期二披露Netlogon漏洞到一个月后，微软证实发现对该漏洞的利用。
微软安全情报周三在Twitter上写道：“微软正在积极追踪利用CVE-2020-1472 Netlogon EoP漏洞（称为Zerologon）的攻击者活动。我们已经观察到攻击者开始利用该漏洞发起攻击。”
本月初，发现该漏洞的信息安全咨询公司Secura发布了完整的详细信息和漏洞利用的严重性。Secura技术总监Ralph Moonen表示，微软要求Secura等待三到四个星期，以便他们有时间修复该漏洞。
高级安全专家Tom Tervoort和Moonen在博客文章中写道：“该漏洞源于Netlogon远程协议使用的密码身份验证机制中的漏洞，该漏洞可用于更新计算机密码。此漏洞使攻击者可以模拟任何计算机，包括域控制器本身并代表它们执行远程程序调用。”
Tenable公司研究工程经理Scott Caveza表示，在Secura的博客文章发布后不久，互联网上出现了多种概念验证漏洞利用。
他在给SearchSecurity的电子邮件中说：“在随后的数小时和数天里，我们看到用于测试和利用此漏洞的脚本数量增加，并且它们继续在以前的代码上进行扩展，以添加进一步的自动化和复杂的攻击方案。我们估计攻击者会抓住这次机会并开始非常快地利用该漏洞，我们现在看到他们已经开始行动。”
在了解到该漏洞的高风险性后，美国国土安全部网络安全和基础设施安全局（CISA）发布了针对机构的紧急指令，其中列出了所需采取的措施。该CISA指令仅适用于具有Active Directory域控制器角色的Windows服务器，他们要求政府机构在9月21日星期一晚上11:59之前安装Microsoft的8月安全更新。
Moonen表示，即使漏洞很严重，用户也通常不会更新。
他表示：“我们知道，有些客户会认为，修复程序会带来破坏，因此应该等待。IT审核员似乎很乐意接受6个月的补丁程序窗口期，虽然这在90年代和00年代初期没问题，但现在情况已经发生改变。DHS发出紧急指令的事实证明，即使在政府机构内部，对于修复漏洞，也有这种老式想法。”
Caveza表示，基于漏洞利用的速度， Tenable预计该漏洞将成为攻击者的流行选择，并将集成到恶意活动中。
他说：“文件名为‘SharpZeroLogon.exe’的恶意.NET可执行文件样本已上传到VirusTotal。微软安全情报已共享了SHA-256哈希样本，以帮助防御者调查任何被利用的系统。”
与CISA和微软一样，Caveza认为管理员应优先考虑尽快修补此漏洞。
SearchSecurity向微软寻求有关该攻击活动的评论，但该公司拒绝提供其他详细信息。
微软发言人表示：“安全更新已于2020年8月发布。已经安装此更新或启用自动更新的客户将受到保护。”