CVE-2020-1472:微软最终确定零度补丁以默认实现执行模式

零点对国家威胁行为方和索要工具黑帮迅速变得有价值,使得各组织如尚未应用补丁则必须立即应用补丁

后台

2月9日,作为2021年2月补丁星期二发布的一部分,微软释放额外零点补丁允许默认安全设置保护脆弱系统

CVE-2020-1472微软Netlogon远程协议中特权脆弱度临界提升原创性初始补丁微软2020年8月.CVSSv3评分为10.0最大可能评分,脆弱优先评分为10,强调其严重性

研究人员分享额外细节,包括完全工作验证概念

2020年9月11日Secrea研究者,发布博客文章并白纸提供更多细节 严重缺陷.三天后安全研究员德克杨Mollema发布概念验证利用脚本敬Github

公有POCs发布后,https://t.co/ykiCYNiSHM
需要Github最新插件版

德克杨 9月14日2020

严重性没有丢失在美国发布政府紧急指令20-04指令联邦机构在几天内应用零点补丁指令先入为主, 研究者微软于2020年9月23日发文表示,

微软正积极跟踪威胁行为主体活动使用CVE-2020-1472NetlogonEo攻击者游戏手册中包含公共开发

微软安全情报 9月24日 2020

10月9日网络安全安全局发布联合咨询与联邦调查局(FBI)CISA和FB观察到高级持久威胁角色开发零点链面向联邦和州政府、地方、部落和地区政府

九天后博客文章发自DFIR Report路克操作中最邪恶的索要工具黑帮之一如何将Zerlogon编集进编程中, 并用它来接管域控制器

推理所有这些动态并识别缺陷的纯严重性,可耐安全响应队加冕Zerologon2020威胁横向回溯.

分析

并进化成它初始补丁微软表示脆弱点会分两部分展开处理 第一阶段从两面处理基本脆弱点第一,补丁区阻塞Windows域成员和非Windows域成员第二,补丁还更改Netlogon协议,供无法使用所需签名/加密数学变换强化了对零战线的防守 使其指数化更难利用

微软双片补丁第二阶段与设置变换相关,处理第三方/非窗口设备中不使用或无法使用所需签名/加密的无安全连接Windows设备加注2020年8月补丁2021年2月补丁.

微软原创概述数列动作项地址为零,它包括:

1. 更新:应用CVE-2020-1472
2. 查找检查事件日志识别哪些设备与系统保持脆弱连接提供脚本)
3. 地址识别:审查日志识别系统 仍然使用 脆弱安全通道Netlogon
4. 激活:修改Netlogon参数注册键并启动执行模式,将全安全通道保护数据值定为1

第四步赋能执行模式 曾是用户手动启动微软默认启用WindowsDC设置, 不论用户或组织是否启动发布前

设置此设置的目的是确保发展中国家不接受脆弱的Netlogon安全信道连接创建脆弱连接列表中添加账户可覆盖此设置 。请注意使用此许可表唯一服务权宜之计而非永久修复

概念证明

博客文章发布时曾有51库GitHub主机poc代码, 包括开发脚本为Zerlogon

求解

微软按允诺分两步展开解决2021年2月Patch星期二发布时零点面向自周二以来未应用补丁更新2020年8月发布应用本月发布将处理两个阶段

组织若尚未应用补丁则立即应用势在必行

识别受影响的系统

可租插件列表识别此脆弱度来.可支付释放远程检查插件erologon可用于测试是否可开发请注意,此插件需要禁止使用用户提供证书选项评估设置.

方便客户使用远程检查插件扫描,我们发布Tenable.io、Tenable.sc和Nessus扫描模板策略,配置扫描成功运行的必要设置

扫描模板设置下客户可用策略扫描列表

最安全测试DC是否脆弱的方法是利用扫描模板策略或插件作为单目标扫描的一部分,因为配置变换到“用户只提供证书”设置将适用于所有插件,这些插件可能覆盖网络上的其他目标资产

获取更多信息

• 微软2020年8月博客邮报
• surea博客零点
• CISA紧急指令20-04
• CISA和FB联合咨询使用Zerlogon漏洞链
• First报告路由磁件使用Zerlogon博客
• 可耐性2020威胁横向反溯报告
• 微软支持零点文章

加入腾布尔安全响应队房东社区

深入了解开云app充值 网络接触平台对现代攻击面进行整体管理

获取a免费30天审判Tenable.io漏洞管理