IOTW：尽管有补丁，但Zerologon攻击仍然很重要

多亏一个人的蜜罐实验，一个已知的Windows漏洞才能被有效地检测到。 今年早些时候发现并修复的安全漏洞CVE-2020-1472仍在猖ramp。它被称为Zerologon，它的简单性非常独特。
它可以利用Netlogon的弱点来工作。 Netlogon是始终在线的Windows服务，使最终用户可以登录网络。脚本化黑客运行非常迅速，可以搜索未打补丁的Active Directory系统，并通过在某些Netlogon身份验证字段中添加数字零来利用弱点。
在微软发布其第一个补丁的一个月后的10月16日，独立研究人员Kevin Beaumont通过利用他维护的蜜罐来检测威胁，从而消除了黑客攻击。蜜罐通过故意设置漏洞来工作，以诱饵和识别网络安全威胁。通过使用未打补丁的诱饵服务器，Beaumont发现黑客可以通过更改管理员密码来对服务器进行后门操作。
从那里，黑客可以访问域控制器，管理员可以使用该域控制器在整个组织中创建和管理帐户。然后，黑客可以假冒连接到受影响网络的任何计算机，禁用Netlogon安全功能，并更改网络计算机的密码。 攻击只能在网络内部发生一次。内部威胁和网络钓鱼方案也可以利用Zerologon来快速感染整个企业网络。一旦进入内部，黑客就可以部署勒索软件，窃取数据，进行间谍活动和其他邪恶行为。
微软于2020年8月发布了第一个补丁程序，但并非没有问题。它涉及修改连接到企业网络的数十亿设备，这些设备会暂时暂停企业运营。临时修复程序只是强制启用Netlogon安全功能，因此Zerologon攻击无法将其关闭以潜入内部。
计划于2021年2月发布更强大的补丁程序。但是，微软预测新补丁程序将永久禁用某些设备上的常规身份验证程序。 相关：p特权拼凑而成 美国网络安全与基础设施安全局（CISA）警告，Zerologon目标包括政府网络，这可能会影响与选举相关的网络。
他们在10月16日发布的声明部分内容是：“虽然似乎并未选择这些目标，因为在接近选举信息的情况下，存储在政府网络中的选举信息可能会存在一些风险。 CISA知道在某些情况下此活动导致未经授权使用选举支持系统；但是，迄今为止，CISA没有证据表明选举数据的完整性受到了损害。” 从理论上讲，像Zerologon这样的威胁永远不会构成太大的问题。安装更新后，网络就安全了。 但是，实际上，更新并非总是会紧迫地发生。
特别是在Zerologon补丁的情况下，其耗时的特性可能会促使粗心的员工绕过更新以保持系统正常运行。某些组织可能会决定24/7全天候运行所涉及的停机时间对于无法首先威胁到他们的修复而言代价太大。从2020年11月起，某些网络将在不再受支持的服务器上运行，这意味着，尽管它们已收到第一个补丁程序，但不会自动安装第二个补丁程序。 相关：p建立企业网络安全弹性文化 对于拥有一个整体的IT团队和坚实的网络安全框架，这些都是简单的解决方案。其他缓解措施包括： 了解更多：本周事件。