小編的世界 優質文選 主機
字體大小:
2020年10月07日 -
:
程序員
CVE-2020-1472 | Netlogon特權提升漏洞
微軟周一表示,伊朗政府贊助的黑客目前在現實世界的黑客活動中利用Zerologon漏洞。
成功的攻擊將使黑客能夠接管稱為域控制器(DC)的服務器,這是大多數企業網絡的核心,並使入侵者能夠完全控制其目標。
該公司今天在一條簡短的推文中說,伊朗的襲擊已被微軟的威脅情報中心(MSTIC)檢測到,並且已經持續了至少兩個星期。
在過去的兩周內,MSTIC已在活動中使用CVE-2020-1472漏洞(ZeroLogon)觀察了民族國家演員MERCURY的活動。我們強烈建議打補丁。Microsoft 365 Defender客戶還可以參考以下檢測:https : //t.co/ieBj2dox78
-微軟安全情報(@MsftSecIntel)2020年10月5日
MSTIC將這些攻擊與該公司追蹤的一群伊朗黑客稱為 MERCURY
,但在他們的MuddyWatter的秘密掩護下更為知名 。
據信該組織是伊朗政府的承包商,該組織是在伊斯蘭革命衛隊,伊朗主要情報和軍事部門的命令下工作的。
根據微軟的《 數字防禦報告》,該組織曆來以非政府組織,政府間組織,政府人道主義援助和人權組織為目標。
盡管如此,微軟表示,水星最近的目標包括“與難民合作涉及的大量目標”和“中東的網絡技術提供商”
公開ZEROLOGON POC之後開始發動攻擊
Zerologon被許多人描述為今年披露的最危險的錯誤。該錯誤是Netlogon中的一個漏洞,Netlogon是Windows系統用來對作為域控制器運行的Windows Server進行身份驗證的協議。
利用Zerologon錯誤可以使黑客接管未打補丁的域控制器,並接管公司的內部網絡。
通常需要從內部網絡進行攻擊,但是如果域控制器處於聯機狀態,則還可以通過Internet進行遠程攻擊。
微軟在8月份發布了Zerologon(CVE-2020-1472)補丁,但 有關此錯誤的第一份 詳細記錄於9月發布,從而延遲了大多數攻擊。
但是,盡管安全研究人員推遲了發布詳細信息的時間,以給系統管理員更多的補丁時間,但Zerologon的武器化概念驗證代碼幾乎在詳細撰寫的同一天就發布了,在幾天之內激起了一波攻擊。
漏洞發布後, DHS給了聯邦機構三天的時間 來修補域控制器或將其與聯邦網絡斷開,以防止該機構期望的攻擊,而幾天後,他們確實這樣做了。
Microsoft使用CVE-2020-1472 Netlogon EoP漏洞(稱為Zerologon)的漏洞,正在積極跟蹤威脅行為者的活動。我們已經觀察到攻擊,其中將公共漏洞利用程序合並到攻擊者的劇本中。
—微軟安全情報(@MsftSecIntel)2020年9月24日
MERCURY攻擊似乎已在此概念驗證代碼發布後約一周的時間開始,並且大約在同一時間,Microsoft開始檢測到首次Zerozeroon利用嘗試。