微软警告使用Windows Zerologon漏洞的持续攻击

微软的威胁情报中心警告说，可能是由于利用了10/10级严重CVE-2020-1472安全漏洞而引起的。

据该公司称，在过去两周中多次观察到持续的攻击。伊朗支持的MuddyWater网络间谍组织使用ZeroLogon漏洞发动了此类攻击。

“ MSTIC在过去两周的活动中观察到了国家演员MERCURY使用CVE-2020-1472漏洞（ZeroLogon）的活动。我们强烈建议进行修补。”

上个月，9月23日，该公司也发布了类似的警告，当时他们敦促IT管理员在周二2020年8月补丁中应用安全更新，以防御使用公开ZeroZon漏洞的攻击。

ZeroLogon是一个严重的安全漏洞，攻击者可以使用该漏洞将特权提升给域管理员。成功利用后，他们可以完全控制域，更改任何用户的密码并执行任何命令。

一周后，思科Talos还警告说：“针对Microsoft漏洞CVE-2020-1472（Netlogon中特权提升漏洞）的利用尝试激增。”

Microsoft正在分两个阶段推出ZeroLogon修复程序，因为它可能导致某些受影响的设备的身份验证问题。

第一个发布于8月11日，阻止Windows Active Directory域控制器使用不安全的RPC通信，并记录来自非Windows设备的身份验证请求，这些非Windows设备不保护RPC通道，以允许管理员修复或替换受影响的设备。

Microsoft将发布另一个更新，从2021年2月补丁星期二更新开始，以启用强制模式，该模式要求所有网络设备都使用安全的RPC，除非管理员允许。

该公司于9月29日阐明了有关如何使用ZeroLogon漏洞保护设备免受持续攻击的步骤。当时，Microsoft概述了更新计划：