一年之后,重新回顾Zerologon漏洞的危害与教训
作者: 日期:2021年09月06日 阅:2,913

编者案:今天,我国《网络安全漏洞管理规定》正式实施。在此时间节点,安全牛通过翻译整理相关资料,重新回顾Netlogon漏洞的危害与教训,及其最初被忽视的原因,可以为相关漏洞的披露与防护提供一定的参考与借鉴。

漏洞CVE-2020-1472,也被行业称为“Zerologon”,在2020年8月11日(周二)首次发布时的CVSS 评分为8.8。对于特权提升漏洞来说,这个得分很高,但还不足以使其成为全球企业安全管理者的最高优先级事项。但当天晚些时候,微软修改了它的更新,并将其的CVSS分数定为10.0。Tenable研究人员Claire Tills表示:“微软安全团队必然是发现了更多信息,才将分数提升到了10.0,这对于特权提升漏洞来说十分罕见。”

在最初的时候,Zerologon漏洞并没有引起人们广泛关注。但在接下来的几个月里,Netlogon漏洞迅速成为各大安全团队的关注重点。该漏洞不仅成为高级持续威胁(APT)工具包的常见组成部分,还让美国网络安全和基础设施安全局(CISA)特别发布了一则以该漏洞为主题的警报,后来又追加了一项紧急指令,要求其国内行政部门和机构尽快应用补丁修复漏洞。

Tills假设造成这种情况的原因是自动抓取“周二补丁”摘要的用户收到的信息表明CVSS分数为8.8,而不是10.0。寻找最高优先级漏洞的安全团队可能错过了微软的 CVSS评分修订以及将其定义为“更有可能被利用”的升级更新。

不过,还是有多位安全专家注意到了Zerologon漏洞的危险性,而引起研究人员广泛关注的关键因素就是它存在于Netlogon协议中。事实上,很多攻击者喜欢应用像Netlogon这样无处不在的协议,因为他们清楚地知道目标企业大概率会启用该功能,而他们也正在寻找一个能让他们事半功倍的漏洞。

如果CVE-2020-1472是在今天发布的,相信必然会引发更大的关注。但在2020年7月中旬至9月中旬期间,甲骨文、Adobe和微软集中发放了众多安全补丁,修补了超过800个安全漏洞。当铺天盖地的漏洞信息扑面而来时,疏忽也就在所难免了。

我们一直在谈论警报过载,Zerologon漏洞疏忽就是一个典型案例,关于该漏洞的信息有限,再加上同时发出多个其他的威胁警报,安全人员分不清警告和噪音,难以掌握最关键信息,最终导致了Zerologon漏洞在长达一个月的时间内无人问津。

攻击者手中的利器

NetLogon组件是Windows上一项重要的功能组件,用于用户和机器在域内网络上的认证,以及复制数据库以进行域控备份,同时还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。当攻击者使用Netlogon远程协议(MS-NRPC)建立与域控制器连接的易受攻击的Netlogon安全通道时,就会存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络中的设备上运行经特殊设计的应用程序。

这种攻击具有巨大的影响:它基本上允许本地网络上的任何攻击者(例如恶意的内部人员等)完全破坏Windows域,而且攻击完全未经身份验证,攻击者不需要任何用户凭据。

Zerologon吸引攻击者的另一个原因是它可以插入各种攻击链。网络罪犯可以通过各种方法劫持联网的计算机,例如使用钓鱼邮件、供应链攻击,甚至能通过办公区域内为访客提供的空的网线插口进行攻击,或是通过其他CVE获得初始访问权限。

微软的Zerologon补丁分为两部分,其更新修改了Netlogon处理Netlogon安全通道使用的方式。该修复对域中的所有Windows服务器和客户端强制实施安全NRPC,破坏了漏洞利用过程中的第二步。微软缓解措施的第二部分于今年2月发布,该公司警告管理员它将启用“强制模式”以阻止来自不合规设备的易受攻击的连接。

事实上,当时荷兰网络安全公司Secura的安全专家Tom Tervoort发布了针对Zerologon漏洞的技术白皮书后不久,研究员们便开始编写自己的概念验证程序(PoC)。在几天内,GitHub上就出现了至少4个展示如何利用该漏洞的可用开源代码示例。这加快了企业修复漏洞的步伐,同时也促使CISA发布警报和紧急指令。

不幸的是,公开后的PoC不仅吸引了信息安全专家的注意,也引起了网络罪犯团伙的注意。2020年10月初,微软报告了某中东地区APT组织Mercury利用Zerologon漏洞的企图。该组织一直以政府机构(尤其是中东的)为目标,并且已经在真实攻击案例中利用该漏洞长达2周的时间。

三天后,微软又披露了威胁组织TA505对Zerologon漏洞的滥用案例。据悉,该组织利用漏洞的方式包括将该恶意软件伪装成软件更新包,并滥用MSBuild[.]exe在受到感染的计算机上编译攻击工具。

另外,曾开发了勒索软件Ryuk的黑客组织也利用Zerologon漏洞在5小时内便成功感染一家企业的整个本地网络。据悉,该组织向一名员工发送了一封钓鱼邮件,待钓鱼邮件被点击并感染计算机后,他们便利用Zerologon漏洞侵入企业网络,向网络中所有服务器和工作站分发可执行的勒索软件。

在此之后,微软陆续收到更多受到该漏洞利用影响的客户报告。截止2021年7月,CISA研究报告数据显示,Zerologon成为了2020年以来被利用次数最多的安全漏洞之一。

漏洞更新中的缺陷

攻击者凭借研究人员发布的PoC迅速开展攻击活动的情况并不罕见。但另一方面,我们也看到了许多防御者开始加紧部署行动。由于Zerologon的评分从8.8分升级至10.0分的更新仅在该漏洞的修订历史中被披露,因此直到一个月后Tervoort的技术白皮书发布时,该漏洞才引起了广泛关注。而这长达一个月的时间内,各类威胁组织都在争先恐后地开发他们的漏洞利用代码,并积极地开展攻击活动。如果一开始,微软能够在分数变化上做出更深入地沟通,那么防御者将可能会有更准确的数据来确定他们的补丁优先级。

虽然微软公司在漏洞披露方面已经被广泛质疑,其最近披露的Print Spooler漏洞也有与CVE更改类似的问题存在,但安全专家认为,需要提高漏洞信息透明度的公司并非只有微软一家而已。虽然微软在去年年底从漏洞披露中删除了执行摘要,消除了有关如何瞄准漏洞的信息,但它仍然提供CVE的修订历史,这是其他供应商没有的。

安全专家指出,系统供应商需要在他们的安全公告中提供更高的透明度。拥有更详细的信息可以帮助防御者确定补丁的优先级,更好地抵御威胁。

参考资料

https://www.darkreading.com/vulnerabilities-threats/one-year-later-a-look-back-at-zerologon


相关文章