微软将默认启用域控制器 “强制模式” 来缓解威胁

从2月9日开始，Microsoft将默认启用域控制器“强制模式”以解决CVE-2020-1472。

对于尚未更新其系统以解决严重Zerologon漏洞的公司，Microsoft会自己处理。默认情况下，这家科技巨头将很快阻止可用于利用此漏洞的设备上的易受攻击的连接。

从2月9日开始，微软表示将默认启用域控制器“强制模式”，这将有助于缓解威胁。

Microsoft Active Directory域控制器是Zerologon漏洞的核心。域控制器响应身份验证请求并验证计算机网络上的用户。成功利用此漏洞后，未经身份验证的攻击者就可以通过网络访问域控制器，从而完全破坏所有Active Directory身份服务。

微软工程部副总裁Aanchal Gupta在周四的帖子中说，域控制器强制实施模式“将阻止来自非兼容设备的易受攻击的连接。” “ DC强制实施模式要求所有Windows和非Windows设备都使用带有Netlogon安全通道的安全RPC，除非客户通过为不兼容的设备添加例外明确允许该帐户受到攻击。”

安全RPC是一种身份验证方法，可以对主机和正在请求服务的用户进行身份验证。

这种新的实现是一种尝试阻止网络犯罪分子获得对域控制器的网络访问权，他们可以利用这一点来对Zerologon权限提升漏洞(CVE-2020-1472)进行攻击。Microsoft 2020年8月的安全更新中首次解决了该漏洞，其严重严重性CVSS评分为10/10 。但是从9月开始，至少有四个针对该漏洞的公开概念验证（PoC）漏洞以及相关漏洞的 技术细节已在Github上发布。

新网络技术公司(NNT)的首席技术官Mark Kedgley说，这种强制模式“是一个值得欢迎的举措，因为它是一个潜在的破坏性漏洞。“通过默认设置，很明显，将其置于打开状态太危险了。给每个人的信息是经常和定期打补丁，并确保你的安全配置构建标准是最新的[互联网安全中心]或[安全技术实施指南]建议。”

在过去的几个月中，Zerologon变得越来越严重，因为一些威胁参与者和高级持续威胁（APT）团体针对该漏洞进行了封锁，其中包括中国支持的APT Cicada和MERCURY APT团体等网络犯罪分子。

Digital Shadows的网络威胁情报分析师Ivan Righi说：“报告的漏洞在披露漏洞后的两周内就开始发生。” “还观察到APT10（又名蝉，大熊猫和Cloud Hoppe）在2020年11月利用Zerologon瞄准日本公司。”

在漏洞利用程序发布后，美国政府还介入召集组织进行更新，DHS发布了一项罕见的紧急指令，命令联邦机构在9月21日之前修补Windows Server的漏洞。

Gupta表示，组织可以采取四个步骤来避免严重漏洞：将域控制器更新为2020年8月11日或更晚发布的更新；查找哪些设备正在建立易受攻击的连接（通过监视日志事件）；解决那些建立脆弱连接的不合规设备；并启用域控制器强制实施。

“考虑到该漏洞的严重性，建议尽快使用最新的安全补丁更新所有域控制器，” Righi告诉Threatpost。