微軟發現利用 Zerologon 漏洞的攻擊行動開始出現

 

微軟最近開始觀測到利用 Zerologon 漏洞的攻擊行動,且有逐漸增加的趨勢。

Zerologon 這個漏洞的 CVE 編號為 CVE-2020-1472,在九月初由荷蘭的資安研究團隊發現;這個漏洞的 CVSS 嚴重程度評分高達滿分的 10 分,屬於極嚴重資安漏洞。

Zerologon 漏洞發生在微軟 Netlogon 協定中的身分認證過程中,駭侵者可用以假冒任何內部網路中的電腦身分、關閉 Netlogon 身分認證中要求的各種資安選項,甚至更改 Active Directory 中任何一台電腦的登入密碼。

透過 Zerologon 的攻擊過程非常快速,幾秒內就可以完成,而且能夠立即掌握整個遭到入侵的企業內部網路,比傳統駭侵手法要快速簡便地多。

也因為這個原因,資安專家在發現此漏洞時,便預測很快就會有駭侵團體利用此漏洞發展出新的駭侵工具並發動攻擊;不出半個月,微軟便已偵測到愈來愈的 Zerologon 攻擊。

自 Windows 2008 至今的各版本 Windows Server,都含有 CVE-2020-1472 Zerologon 漏洞;微軟已經緊急推出兩個修補方法,暫時可以阻擋利用 Zerologon 的攻擊行動。

由於這個漏洞可能造成的嚴重後果,美國政府已要求各單位應在三天內修補此漏洞,否則就應將伺服器自聯邦政府網路離線。

    CVE編號:CVE-2020-1472

    影響版本:自 Windows 2008 至今的各版本 Windows Server

    解決方案:微軟推出的暫時阻擋利用 Zerologon 攻擊行動的兩個修補方法

相關連結

  1. https://www.twcert.org.tw/tw/cp-104-4009-29883-1.html
  2. CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability
  3. Zerologon attack lets hackers take over enterprise networks: Patch now
  4. Microsoft says it detected active attacks leveraging Zerologon vulnerability
  5. Emergency Directive 20-04

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Scroll to Top