CVSS分數10.0爆燈的超級危險漏洞 「Zerologon」

在微軟8月份的「補丁星期二」中堵塞了一項被評為「Critical」等級的漏洞CVE-2020-1472 (又名Zerologon),其CVSS分數高達10.0滿分,它最危險之處,是能夠被利用作騎劫網域控制器 (domain controller)。

Zerologon讓攻擊者取得網域管理權限
CVE-2020-1472涉及Netlogon Remote Protocol加密身份驗證中的漏洞,該Protocol在基於網域的網絡驗證用戶和裝置,以及遙距更新電腦密碼,通過這項漏洞,攻擊者可以模擬客端電腦並且切換網域控制器的密碼 (控制整個網絡和執行Active Directory服務的伺服器),繼而讓攻擊者取得網域管理權限。

受影響版本
如果公司的網絡是建基於Windows的網域控制器,就會受到Zerologon影響,網絡罪犯甚至可以騎劫所有版本的Windows Server 2019和2016的網控制器,還有Windows Server版本1909及1903的所有版,以及Windows Server版本1809 (Datacenter和Standard版)、Windows Server 2012及R2和Windows Server 2008 R2 Service Pack 1。為了發動攻擊,網絡罪犯首先需要滲透公司網絡,過往曾發生借助內部攻擊或在公共場所的插座滲透的事故。

幸好Zerologon暫時仍未被人在現實世界中發動攻擊 (至少未有報告),然而,漏洞發現者的報告公開後,可能會吸引到犯罪份子的注意,即使研究人員沒有發佈相關的成果,但毫無疑問攻擊者可基於補丁而找到線索。

防護措施
微軟已經在8月為受影響系統推出補丁,堵塞有關的漏洞,所以防護的首要工作就是進行更新,另外,公司也可以監察任何通過受影響版本protocol嘗試的登入,以及識別不支援新版本的裝置,而微軟亦建議網絡控制器應該設定為所有裝置使用安全版本的Netlogon。

不過更新並沒有強制執行以上的限制,因為並不是只有Windows使用Netlogon Remote Protocol,其他操作系統的裝置也倚賴該protocol,如果強制性地設限制,那些不支援安全版本的裝置將無法正常運作。

明年2月強制使用安全版本
但是,自2021年2月9日起該限制將會強制生效,迫使所有裝置使用已更新的安全版本Netlogon,管理員應該在這段「緩衝期」解決第三方裝置的問題 (更新或手動加入豁免)。