首页 >> 网络安全 >>漏洞预警 >> Windows Zerologon CVE-2020-1472的利用代码已发布;您的Windows服务器受到威胁
详细内容

Windows Zerologon CVE-2020-1472的利用代码已发布;您的Windows服务器受到威胁

时间:2020-09-17     作者:VIJAY PRABHU   阅读

针对Microsoft Windows'Zerologon'缺陷(也称为CVE-2020-1472)发布的Exploit发布,它使黑客立即成为企业网络上的管理员

Windows服务器版本具有一个非常关键的缺陷,网络犯罪分子和黑客可能会利用该缺陷来获得对域范围服务器的特权访问。不幸的是,此Windows Zerologon Windows漏洞的四个概念验证代码已公开泄漏。这意味着所有Windows服务器都容易受到Zerologon攻击,这使黑客能够轻松渗透企业网络,获得管理特权并获得对Windows服务器上Active Directory域控制器的完全访问权限。


发布了PoC代码以利用被称为“ Zerologon”的漏洞。Zerologon是Windows漏洞,具有唯一标识符CVE-2020-1472,最大可能的CVSS得分为10(十分之十),这在严重性上非常关键。


Microsoft在2020年8月的安全更新中解决了Zerologon漏洞。但是,本周至少在Github  上发布了四个针对该漏洞的公开PoC漏洞,并且在星期五,Secura(他们发现了该漏洞)的研究人员发布了该漏洞的技术细节。 


Windows服务器中的Zerologon漏洞类似于Secura称为Netlogon的较早漏洞。但是,Netlogon要求潜在的黑客发起中间人攻击,以使其成为恶意行为者的有效工具。Zerologon漏洞具有双重危险,因为利用此漏洞,黑客可以为Netlogon远程协议设计身份验证令牌,并允许他们重置域控制器的计算机密码。


该缺陷源于Windows域控制器上可用的Netlogon远程协议,该协议用于与用户和计算机身份验证有关的各种任务。具体地说,在Netlogon会话中使用AES-CFB8加密存在问题。AES-CFB8标准要求明文的每个“字节”都有一个随机的初始化向量(IV),从而阻止攻击者猜测密码。但是,Netlogon的ComputeNetlogonCredential函数将IV设置为固定的16位(不是随机的),这意味着攻击者可以控制解密的文本。但是,由于Windows并未考虑此要求,因此攻击者可以在特定字段中输入零,从而在几秒钟内就可以接管域控制器,此过程在此进行了详细介绍  。


“这种攻击产生了巨大的影响:它基本上允许本地网络上的任何攻击者(例如恶意内部人员或仅将设备插入内部部署网络端口的人)完全危害Windows域。” Secura,  在星期五的白皮书中。“攻击是完全未经身份验证的:攻击者不需要任何用户凭据。”


微软已经在2020年8月的安全更新中解决了Zerologon漏洞,因此Sysadmins应该立即更新其服务器和Windows企业版。Secura发布了用Python编写的工具,可帮助Sysadmin管理员确定其域控制器是否容易受到Zerologon攻击。

点击图片直接加群
更多
ots网络logo

OTS网络安全门户主要提供网络信息安全教程、文章、工具,让更多的小伙伴加入我们的社区一起学习。

技术支持: 建站ABC | 管理登录