随着Microsoft在狂野中确认Zerologon攻击,播放补丁
微软证实,现实世界的网络犯罪活动在高度危险的Zerologon漏洞中聚结,并警告尚未修补它的用户作为极端紧迫性的问题。
被描述为“近完美”漏洞利用,Zerologon,或CVE-2020-1472提供其官方指定,是使用NetLogon远程协议(NRP)的易受攻击的域控制器的连接提升漏洞获取域管理员权限。
根据Secura发布的白皮书,恶意演员需要利用它的唯一方法是能够与易受攻击的域控制器建立TCP连接 - 这意味着他们需要在网络上立足,但不需要需要域凭据。
CVE-2020-1472首次在8月份的补丁周二揭示,然后被吉尔朗斯顿的吉尔朗斯顿(Solarwinds MSP)在Solarwinds MSP的Head Security Nerd观看,他在每周告诉计算机时,这是值得花时间阅读和评论的它的含义。
在9月24日早于9月24日发布到Twitter的一系列陈述中,微软的安全智能单元表示:“微软正在积极跟踪CVE-2020-1472 NetLogon EoP漏洞的漏洞漏洞,称为Zerologon。我们观察到攻击公共利用已被纳入攻击者剧本。
“Microsoft 365客户可以参考我们在Microsoft Defender安全中心发布的威胁分析报告。威胁分析报告包含旨在授权Secops来检测和减轻这种威胁的技术细节,缓解和检测细节。“
微软补充说:“我们将继续使用最新信息监控开发并更新威胁分析报告。我们强烈推荐客户立即为CVE-2020-1472应用安全更新。Microsoft 365客户可以使用威胁和漏洞管理数据来查看修补状态。“
这是Zerologon脆弱性的严重性,它促使美国网络安全和基础设施安全机构(CISA)上周发出紧急指令,法律要求联邦机构立即修补其系统。
CISA表示已确定Zerologon提出了“不可接受的风险”,并要求“立即和紧急行动”。它在9月21日星期一的当地时间征收了11.59分的截止日期。
Sydnam Narang,职员研究工程师,Zerologon将Zeroloon描述为“游戏结束”的任何组织不幸或蛮干的情况,足以让受害者堕落,并敦促提醒注意力。
“缺陷的影响仅限于已经在组织网络内部获得立足点的攻击者,但尽管有这种限制,攻击者可以利用任何数量的现有未分量的漏洞,以攻击其目标网络在枢转以损害弱势域控制器之前“陈昌说。他补充说,Zerologon也可能是赎金瓶装工具包的“引人注目的补充”。
“我们强烈鼓励组织立即应用Microsoft提供的补丁,”他说。“如果您的域控制器正在运行不再接收来自Microsoft的安全更新的不受支持的版本,则必须尽快升级这些版本。”