cve - 2020 - 1472:“Zerologon”Netlogon漏洞可能允许攻击者劫持Windows域控制器
安全研究人员揭示如何利用密码认证计划Netlogon控制Windows域控制器(DC)。
更新:2020年9月21日:确定影响系统的部分已经更新,包括指令对我们新的Zerologon未经身份验证的检查。
更新:2020年10月2日:确定影响系统的部分已经更新强调释放Nessus和Tenable.io Zerologon扫描模板。
背景
9月11日,研究人员安全发表了一篇博文,为一个关键漏洞他们称为“Zerologon。“博文一个白皮书解释的全面影响和执行漏洞,确定为cve - 2020 - 1472收到CVSSv3得分为10.0,最大得分。Zerologon修补了微软周二在8月补丁一轮的更新。这披露遵循之前Netlogon相关漏洞,cve - 2019 - 1424,安全详细的在去年年底。
分析
cve - 2020 - 1472是一种特权升级漏洞由于不安全的使用Netlogon AES-CFB8加密的会话。AES-CFB8标准要求每个字节的明文,像一个密码,必须有一个随机初始化向量(IV)密码不能猜测。的ComputeNetlogonCredential函数在第四Netlogon设置一个固定的16位,这意味着攻击者可以控制破译文本。攻击者可以利用这个漏洞模仿网络上的任何机器的身份当试图验证域控制器(DC)。然后可能进一步袭击,包括Windows域的完整的收购。安全的白皮书还指出,攻击者能够简单地运行Impacket的secretsdump脚本将用户从一个目标散列的列表。
为了利用这个漏洞,攻击者需要从一台机器启动攻击在同一个局域网(LAN)作为他们的目标。一个脆弱的客户机或直流接触互联网本身不是可利用的。欺骗的攻击需要登录功能和普通域登录尝试。Active Directory(广告)需要识别连接客户端是在其逻辑拓扑,它不会有外部地址。
概念验证
几个概念证明(poc)已经发布到GitHub[1][2][3][4]这表明广泛兴趣和实验安全社区。研究人员已经快速的在工作确认成功的开发。关键和高调的漏洞往往会收到安全研究人员的广泛兴趣和攻击者。
在一个假设的攻击中,可以利用这个漏洞ransomware部署在一个组织保持持久的存在,如果清理和修复工作错过任何额外的恶意脚本。组织与网络备份可能最终一场完美风暴如果ransomware集团破坏备份增加支付从受害者组织的可能性。
解决方案
应用8月星期二补丁更新微软的咨询将修复漏洞,执行远程过程调用(RPC)在Netlogon所有Windows设备的协议。站得住脚的强烈鼓励用户和管理员都应用这个补丁尽快。
是的,我可以确认这个公共利用Zerologon (cve - 2020 - 1472)的作品。人已经从8月份的补丁没有安装补丁周二已经是比他们已经糟糕得多。https://t.co/SWK2hUDOYchttps://t.co/0SDFfageQCpic.twitter.com/Lg8auMdtVU
——将Dormann (@wdormann)2020年9月14日
用户应该意识到微软指出这个咨询将会修订2021年2月9日,,一旦执行阶段开始,执行模式将所有非windows设备所需。管理员可以手动允许特定的设备通过组策略为遗留设备需求。
确定影响系统
站得住脚的插件的列表来确定可以找到这个漏洞在这里。站得住脚的也将释放额外的插件2月9日,2021年,更新。合规性审计文件,可以在这里,可以用来确保FullSecureChannelProtection注册表键值设置在组策略。2020年8月修复后应该把这个注册表键补丁已成功应用。
成立也发布了微软Netlogon高程的特权为客户,未经过身份验证插件,想扫描他们的DCs可利用性进行测试。这个插件试图验证目标使用一个所有零客户端凭据后提供一个零客户的挑战。在脆弱的目标,这将平均每256次成功,这插件将尝试2000次,以验证如果目标受到影响。由于所需要的登录尝试数准确核实目标的可利用性,站得住脚的不建议运行这个插件和其他插件扫描,因为它是用于打域控制器扫描。要启用插件,用户必须禁用“只使用用户提供的凭证”蛮力部分评估选项下设置的扫描配置。
Tenable.ioand Nessus users will also be able to take advantage of the new scan template dedicated to targeting Zerologon.插件140657及其依赖项中自动启用模板,并配备必要的蛮力设置自动配置。
获得更多的信息
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。
相关文章
成立2023年的夺旗:你准备好测试的黑客技能吗?
2023年7月26日,站得住脚的竞争带来的年度黑客黑帽2023在混合面对面和在线体验,让世界各地的竞争对手有机会获得乐趣和测试他们的技能。
发现罗克韦尔自动化艾伦-布拉德利通信模块受到cve - 2023 - 3595和cve - 2023 - 3596年的环境
2023年7月12日在工业环境中识别脆弱的系统可能很复杂。使用错误的工具,它将忽略影响设备。找出站得住脚的不安全是设计给你深入资产可见性来解决这些新的漏洞在不影响生产力。
微软的130年7月2023个星期二补丁地址cf (cve - 2023 - 36884)
2023年7月11日微软的130年7月2023个星期二补丁地址cf (cve - 2023 - 36884)微软地址130 cf包括5个在野外利用零日漏洞和指导m…
成立网络看:美国政府发布网络安全实施计划,中钢协股票对云安全的免费工具,等等
2023年7月31日本周出版的站得住脚的网络看解包白宫的国家网络安全战略实施计划,并提供新的建议和指导关于生成采用人工智能的执行者。也覆盖:中钢协的股票其字幕新闻提供免费的工具,以帮助确保云环境。
常见问题:SEC新网络安全规则对信息安全意味着领导人
2023年7月28日,7月26日,美国证券交易委员会投票3 - 2采用新规则将要求一些新的网络安全从上市公司披露的信息。Here&rsquo网络安全领导人需要知道的。
网络安全快照:证券交易委员会想要更多网络安全从上市公司透明度
2023年7月28日,找出在美国证券交易委员会(SEC)的新网络安全信息披露规则。另外,中钢协分析了网络风险影响关键基础设施的组织。同时,检查指导的影子和技巧来提高安全意识程序。和更多!
- 漏洞扫描