微软警告使用Windows Zerologon漏洞的持续攻击
微软的威胁情报中心警告说,可能是由于利用了10/10级严重CVE-2020-1472安全漏洞而引起的。
据该公司称,在过去两周中多次观察到持续的攻击。伊朗支持的MuddyWater网络间谍组织使用ZeroLogon漏洞发动了此类攻击。
“ MSTIC在过去两周的活动中观察到了国家演员MERCURY使用CVE-2020-1472漏洞(ZeroLogon)的活动。我们强烈建议进行修补。”
上个月,9月23日,该公司也发布了类似的警告,当时他们敦促IT管理员在周二2020年8月补丁中应用安全更新,以防御使用公开ZeroZon漏洞的攻击。
ZeroLogon是一个严重的安全漏洞,攻击者可以使用该漏洞将特权提升给域管理员。成功利用后,他们可以完全控制域,更改任何用户的密码并执行任何命令。
一周后,思科Talos还警告说:“针对Microsoft漏洞CVE-2020-1472(Netlogon中特权提升漏洞)的利用尝试激增。”
Microsoft正在分两个阶段推出ZeroLogon修复程序,因为它可能导致某些受影响的设备的身份验证问题。
第一个发布于8月11日,阻止Windows Active Directory域控制器使用不安全的RPC通信,并记录来自非Windows设备的身份验证请求,这些非Windows设备不保护RPC通道,以允许管理员修复或替换受影响的设备。
Microsoft将发布另一个更新,从2021年2月补丁星期二更新开始,以启用强制模式,该模式要求所有网络设备都使用安全的RPC,除非管理员允许。
该公司于9月29日阐明了有关如何使用ZeroLogon漏洞保护设备免受持续攻击的步骤。当时,Microsoft概述了更新计划:
- 将域控制器更新为发布的更新,2020年8月11日或更高版本
- 通过监视事件日志查找哪些设备具有易受攻击的连接
- 解决不兼容的设备,
- 启用强制模式以解决CVE-2020-1472