(转载:www.idcew.com) 微软在Windows网络登录远程协议中发现了一个关键漏洞。当有报道指出网络攻击者积极利用这一安全漏洞时,事情变得非常严重。微软发了几条推特通知企业这个缺陷。他们要求企业安装一个修补发布以立即解决此问题。
在一份声明中,微软表示我们已经观察到攻击,其中公开利用已纳入攻击者行动手册。我们强烈建议客户立即为CVE-2020-1472应用安全更新。"
不知道怎么安装补丁?看看这些修补技巧。在本文中,您将了解到您想知道的关于微软Zerologon缺陷的一切。
什么是网络登录/零登录缺陷? 网络登录是微软活动目录的核心认证组件。它基本上是微软网络登录远程协议中存在的一个权限提升漏洞。
据维克特拉的高级咨询分析师卢克·理查兹说网络登录是由域控制器提供的一种服务,它在计算机和域控制器之间提供一个安全通道。它通常需要预先建立的凭据或其他身份验证方法才能使用该通道。"
CVSS基本评分为10分,这是软件缺陷的最高严重级别,因此,零登录/网络登录缺陷已成为一个主要的安全问题。
它是如何工作的? 网络登录/零登录漏洞允许未经身份验证的用户使用微软网络登录远程协议与域控制器建立连接。这允许他们获得完全的管理权限。他们甚至可以通过一台不在域中的机器来完成这个任务,并且还可以执行许多域级别的操作。
趋势科技零日倡议的通信经理达斯汀·查尔兹强调了另一种可能性。据他说,”此漏洞可能允许未经身份验证的攻击者在受影响的Windows域控制器上运行任意代码。"由于攻击者可能拥有额外的权限,这使得他们能够接管整个域控制器和域。这就是为什么安全专家敦促组织迅速采取行动,在为时已晚之前安装补丁。
首席安全科学家兼泰克公司CISO顾问杰森·卡森认为特权妥协是一个极其严重的安全问题。修补易受攻击的系统应该是重中之重。他认为,如果CISA发布了警报,这意味着联邦政府部门可能已经成为这一安全漏洞的受害者。
结果 如果我不修补此漏洞会发生什么?根据达斯汀·查尔兹的说法修补失败意味着您的一项最重要的资产不受主动威胁的保护。这不是一个理论上的漏洞,可能会被老练的攻击者利用。这是威胁行为者针对企业主动使用的漏洞。“成功利用此漏洞的攻击者可以获得一张金券。他们可以使用这个金票在每个级别分配新的身份验证令牌。
如何修复? 微软宣布他们将推出两个补丁来降低风险。他们已经发布了一个,并将在2021年发布第二个。当前修补程序启用安全功能,以加强网络安全。下一个补丁将通过网络登录中的远程过程调用来加强安全登录。
达斯汀·查尔兹进一步补充道当前可用的修补程序需要应用于所有域控制器(包括只读控制器),并且需要创建一个注册表项来实施安全的RPC连接。但是,在第二个补丁可用之前,这个问题还没有完全解决。"
尽管当前的补丁阻止了zerologon漏洞的运行,但这并不意味着它将修复与服务相关的潜在安全问题。这意味着系统管理员必须应用补丁并持续监控不兼容的设备,而不是像微软所示的那样尝试实现远程过程调用连接指导方针。建议可用性高于安全性表明,即使是打了补丁的系统也可能仍然容易受到攻击。
从Zerologon安全漏洞中完全保护您的域的最佳方法是识别可通过互联网访问的域控制器。按照微软的指导,修补这些域控制器并实现远程过程调用连接。
密切关注通过用户帐户和主机访问您的网络服务时可以向您发出警报的系统。例如,如果用户拥有域管理员凭据,这将使用户帐户和主机能够访问他们以前从未访问过的网络服务。
您如何保护您的企业免受zerologon缺陷等新出现的威胁?请在下面的评论部分告诉我们。 (转载:www.idcew.com) |