一年后:从Zerologon我们能学到什么?
![](http://www.yyueer.com/sites/default/files/images/articles/SRT%20blog-High-Quality.jpg)
一年的头条漏洞和事件,Zerologon (cve - 2020 - 1472)是由于其广泛采用通过威胁演员和网纹披露时间表。
在我们威胁景观回顾(TLR)今年早些时候发表的,成立安全响应团队(SRT)突出显示cve - 2020 - 1472,又名Zerologon之一2020年的五大漏洞。
然而,Zerologon卑微:周二收到有限提到大多数补丁分析当它最初是固定在2020年8月,但到今年年底,Zerologon出现在几个政府警告,威胁演员通过各种动机和能力。Zerologon是2020年最大的漏洞,根据最近的一项联合网络安全警报从国际政府机构。
如果漏洞有灰姑娘的故事,这可能是一个。怎么这个漏洞最初迷失在洗牌和安全专家可以从这里学到什么,避免任何未来打乱像一个经历了2020年夏季结束时?
优先考虑超载:2020的脆弱性的季节
你可能会阻止它从你的记忆中抹去,或者它可能覆盖了其他许多重大新闻周期以来我们经历的,但2020年的夏天是一个疲惫忙碌的几个月。只是计划,反复出现的安全版本从甲骨文、微软和Adobe,超过800的漏洞被添加到优先级队列7月14日至9月10日,2020年。但是,当然,它永远只是预定发布。周围的几个月披露cve - 2020 - 1472和出版的安全白皮书,安全响应团队报道了十几个明显的漏洞。
来源:成立,2021年8月
得到一个更详细的概述2020脆弱性赛季,以及它如何适应更大的安全格局,读TLR。
星期二补丁:2020年8月
这是8月星期二补丁周围所发生的一切。让我们花一些时间来检查,释放自己。120年微软补丁cf,打破100 cf连续第六个月。十七岁的cf被评为关键,七个“剥削”更有可能和两个漏洞(cve - 2020 - 2020 - 1380 - 1464和cve)正在积极开发。一半以上(61)的cf的特权(bgi),尽管积极利用漏洞收到了大量的注意力在第三方分析周二发布的补丁。
现在,我们有一个更好地了解周围的环境cve - 2020 - 1472的最初版本,让我们检查漏洞本身以及如何披露进展。
关于cve - 2020 - 1472:卑鄙的更新造成问题
来源:成立,2021年8月
cve - 2020 - 1472是高度的特权漏洞微软的Netlogon远程协议(MS-NRPC)。这个协议是用来维持关系的域控制器(DCs)内和跨域。至关重要的是,MS-NRPC DCs还用于管理账户更改,如密码。缺陷存在的缺陷如何MS-NRPC实现AES-CFB8加密。因为这是一个当地的特权升级漏洞,攻击者需要在同一个局域网(LAN)作为他们的目标。
Active Directory(广告)是一个目标Zerologon的严重关切。如果攻击者可以利用广告,他们可以模仿网络上的任何机器,域控制器的管理员重置密码或发射ransomware对整个网络的攻击。
最初,cve - 2020 - 1472发表的CVSSv3得分8.8和“剥削的可能性”,根据微软开发度指数。TrendMicro Zero Day Initiative并指出,一个关键评级bgi的“罕见”,可能是我们的第一次,只有暗示的东西了。然而,另外两个bgi的漏洞在这个版本(cve - 2020 - 1509,cve - 2020 - 1585)也得到了8.8 CVSSv3分数。同一天的周二发布补丁,微软更新CVSSv3得分cve - 2020 - 1472 10.0升级到“剥削的可能性更大。”
这个秘密的更新很可能的一个主要原因cve - 2020 - 1472在最初。在下图中可以看到,更新微软的安全更新指南上市之前发表的信息。1.1版本之前被列为1.0版。分析师和记者周二跳上补丁尽快寻找下一个“大”脆弱和可能错过这个重要的修订。
来源:微软2021年8月,检索
直到9月份,当研究人员安全公布更详细的脆弱性Zerologon,给它一个名字,社区的注意。安全允许的附加信息分析师和研究人员理解完整的范围和影响的脆弱性。这也是我们开始看到10.0 CVSSv3得分纳入覆盖。几个概念论证(PoC)发表的Zerologon改进初始安全发布的测试工具。在10月,消息传出先进的持续威胁演员和ransomware组利用Zerologon在攻击链。
汤姆Tervoot安全最近在讲话2021年美国黑帽他发现Zerologon和微软的补丁。在这个演讲中,他提到一个月的延迟发布白皮书和测试工具在与微软的协议决定,暗示它是为了给后卫补丁。
cve - 2020 - 1472的报道
总的来说,cve - 2020 - 1472没有补丁以显著的厂商和媒体周二报道。也主要是作为一个“修补”稍后分析。似乎大部分的初始覆盖cve - 2020 - 1472是由评论Trend Micro Zero Day Initiative。
根据可获得的信息,它是合理的,我们大多数人关注cve - 2020 - 1464和cve - 2020 - 1380,基本上把销在cve - 2020 - 1472,直到成为可用的更多信息。
安全不提供任何理由推迟出版日期直到上周,微软没有提及CVSS分数变化有些令人困惑的版本历史之外的安全更新指南。准确、完整Zerologon信息已经可以从一开始,这个行业可能会更早听起来更为刺耳的警报。
外卖
从这种情况下,我们能学到什么?我们可以提取有用的行动将在未来避免明显的监督?
我想提供一个魔法,定量解决方案基于这个漏洞:如果(的因素列表),然后利用。不幸的是,这是不可能的;这一切更像是一门艺术,因为它是一门科学。没有准确的信息,这是几乎不可能准确预测漏洞每年数以千计的披露将广泛,甚至狭隘的剥削。攻击者通常是习惯的动物,但他们有很多漏洞可供选择。
公开poc是一个强大的指标,一个给定的脆弱性将攻击,因为攻击者通过投机取巧,高高兴兴地将获得其他人的工作价值。然而,最近我们看到,一些不会犹豫地开发零日如果价格是正确的。PoC明显可以到一个补丁后,正如我们所看到的,和后卫等待公共PoC的对立面是理想。
一件事,我们可以推出,但它不是开创性,bgi的漏洞可能值,考虑哪些漏洞可以链接在目标网络提升特权或横向移动。这不是新的,我们之前写过一篇关于它的文章。基于来源政府提醒演员活动的威胁,我们知道远程代码执行漏洞(远端控制设备)仍占主导地位,但Zerologon是专门为用于喊几个活动,无论最初的访问方法。
从这个事件我们知道看点:
- 广泛宣传poc的补丁
- 无处不在的程序/函数(la假脱机打印程序)
- 微软主导团体使用的漏洞威胁,因为它是如此广泛部署。
- 高度和横向运动
这里没有尖端。
不幸的是,我可以看到的主要作用不是后卫,这是供应商。这种情况的主要原因是cve - 2020 - 1472的得分差异时最初披露。微软一直更多关于分数变化的交际,后卫会有准确的信息来执行初始优先级。首先分析,基于最初由微软提供的信息,这似乎是一个相当平均bgi的脆弱性。秘密的更新意味着大多数人直到一个月后才重新审视咨询。早起的鸟儿有不准确的信息,不幸的是,从而错过了隐喻的蠕虫。
这个案例说明了“协调披露”硬币的另一面。研究员博客文章、白皮书,甚至微博,可以提供有用的环境缺少供应商报告。他们甚至可能指出供应商咨询是不准确的。
我们看到一个类似的问题今年夏天假脱机打印程序的漏洞。
来源:成立,2021年8月
微软最初的cve - 2021 - 1675咨询没有准确描述漏洞,上市只是一个bgi的时候实际上远端控制设备。也遵循了同样的政府提醒时间延迟PoC广泛开发程度相当密切。还有其他复杂因素,但这些不相关。
结论
缺乏透明度从微软在这些情况下是一个持续的问题,我们只能推测如何以及为什么事情发生。这样的混乱可能只是更有可能现在,微软已经将执行概要从安全更新指南。后卫依靠准确、及时的信息从供应商为了有效的优先级决定。信息接收或越少越准确,越难从攻击者得到行业的保护。
确定影响系统
站得住脚的插件的列表来确定可以找到这个漏洞在这里。站得住脚的发布了远程检查插件对DCs Zerologon,可用来测试是否他们是可利用的。请注意,这个插件需要禁用“只使用用户提供的凭证”选项评估设置。
获得更多的信息
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。