• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

预防ZeroLogon Windows Server漏洞


CNHCAKTEAM

Recommended Posts

  • Administrator

zerologon-hacking

如果您正在管理Windows Server,请确保它是Microsoft最近发布的所有修补程序的最新版本,特别是修复了最近修补的关键漏洞,该漏洞可能允许未经身份验证的攻击者危及域控制器。

被命名为“Zerologon”(CVE-2020-1472),由Tom Tervoort发现塞库拉由于Netlogon会话不安全地使用AES-CFB8加密,使得远程攻击者能够通过Netlogon远程协议(MS-NRPC)建立到目标域控制器的连接,因此存在权限提升漏洞。

“该攻击利用身份验证协议中的缺陷,验证域与域控制器连接的计算机的真实性和身份。由于不正确地使用aes操作模式,可以伪造任何计算机帐户的身份(包括dc本身的身份),并在域中为该帐户设置一个空密码。”网络安全公司Cynet在博客文章中解释。

 

尽管CVSS评分为10.0的漏洞首次向公众披露时微软发布了一个补丁今年8月,在研究人员上周公布了技术细节和缺陷概念的证据后,这件事突然引起了人们的关注。

连同印度人和澳大利亚人美国网络安全和基础设施安全局(CISA)也发布了紧急指令指示联邦机构立即修补Windows服务器上的Zerologon漏洞。

“通过发送多条Netlogon消息,其中各种字段都填充了零,未经身份验证的攻击者可以更改存储在AD中的域控制器的计算机密码。然后可以使用该密码获取域管理凭据,然后恢复原始的DC密码,”警告说。

根据Secura的说法,可以按以下顺序利用该漏洞:

  • 伪造客户凭证
  • 禁用RPC签名和密封
  • 欺骗电话
  • 更改计算机的AD密码
  • 更改域管理密码

“中钢协认定,这一漏洞对联邦文职行政部门构成了不可接受的风险,需要立即采取紧急行动。”

“如果受影响的域控制器无法更新,请确保将其从网络中删除,”CISA建议。

此外,Samba--Linux系统SMB网络协议的一种实现--4.7及以下版本也容易受到Zerologon漏洞的攻击。现在,该软件的补丁更新也已经发布。

 

除了解释问题的根本原因外,Cynet还发布了一些关键工件的详细信息,这些工件可用于检测漏洞的主动利用,包括lsass.exe内存中的特定内存模式和lsass.exe之间通信量的异常尖峰。

windows server

“记录最多的工件是Windows事件ID 4742‘计算机帐户被更改’,通常与Windows事件ID 4672‘分配给新登录的特殊权限’结合在一起。”

为了让WindowsServer用户快速检测相关攻击,专家们还发布了Yara规则,可以检测部署前发生的攻击,而实时监视也是一个简单的工具可供下载.

但是,要完全解决这个问题,用户仍然建议尽快安装Microsoft的最新软件更新。

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now