美国国土安全部(Department of Homeland Security)要求联邦机构在周二午夜之前对一个关键的Windows漏洞进行补丁，该漏洞可以让攻击者很容易成为无所不能的管理员，可以自由地创建账户，向整个网络注入恶意软件，并实施类似的灾难性行动。

研究人员将这一漏洞命名为Zerologon，它可以让恶意黑客立即获得对活动目录的未经授权的控制。Active Directory存储了与被授权在大型组织内部使用电子邮件、文件共享和其他敏感服务的用户和计算机相关的数据。Zerologon被跟踪为CVE-2020-1472。微软上个月发布了一个补丁。

不可接受的风险

该缺陷存在于所有支持的Windows服务器版本中，在常见的漏洞评分系统下，沐鸣开户测速微软对其进行了严重程度评分，最高为10分。进一步提高风险的是，多个研究人员发布的概念验证利用代码，可以为恶意黑客创建工作攻击提供路线图。

隶属于国土安全部的网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency)的官员上周五发布了一项紧急指令，警告不打补丁的组织可能会面临严重后果。州:

CISA已经确定，这一脆弱性对联邦民事行政部门构成不可接受的风险，需要立即采取紧急行动。这一决定是基于以下几点:

在任意未打补丁的域控制器被利用的可能性不断增加的情况下，利用代码的可用性;

受影响的域控制器在整个联邦企业中广泛存在;

可能危及机构信息系统的可能性很大;

成功妥协的严重影响;和

自更新发布以来，该漏洞持续存在超过30天。

CISA拥有发布紧急指令的授权，旨在减轻已知或可疑的安全威胁，并要求各组织在美国东部时间周一晚上11:59之前安装微软补丁或断开该组织网络上脆弱的域控制器。

不迟于美国东部时间周三晚上11:59，沐鸣开户测速各机构将提交一份完成报告，以证明更新已应用于所有受影响的服务器，或提供保证，新供应的或之前断开连接的服务器将打补丁。

剥削比预期的要容易

上周二，当该漏洞的细节首次浮出水面时，许多研究人员认为，只有当攻击者已经在脆弱的网络中有了立足点时，才能利用该漏洞，攻击者要么是恶意的内部攻击者，要么是已经获得了较低级用户特权的外部攻击者。这种入侵后的漏洞可能会很严重，但要求很高，既可以为脆弱的网络争取时间，也可以促使攻击者利用更容易但不那么严重的安全漏洞。

此后，几名研究人员表示，攻击者有可能在没有进行低级别访问的情况下，通过互联网利用这个漏洞。原因是:尽管存在风险，一些组织仍将它们的域控制器(即运行活动目录的服务器)暴露给Internet。这样做的网络，以及公开了用于文件共享的服务器消息块或用于网络内数据交换的远程过程调用的网络，可以在没有其他需求的情况下被利用。

如果您已经设置了对#zerologon (CVE-2020-1472)的检测，不要忘记它也可以在SMB上被利用!安全公司Zero Networks的研究人员写道。为RPC/TCP和RPC/SMB运行这个测试脚本(基于@SecuraBV)。

作为一名独立研究者，Kevin Beaumont补充道:“到目前为止，黑客没有自动远程查询DC的域名和Netbios名称，这是一个很好的(但很小的)进入障碍。”一个未打补丁的域控制器=每个打补丁的域端点都容易受到RCE攻击。另一个枢轴，如果你有SMB开放- rpc超过SMB。联络网络检测人员。”

使用二进制边缘搜索服务的查询显示，几乎有30,000个域控制器是可见的，沐鸣开户测速另外130万台服务器暴露了RPC。如果这些设置中的任何一个应用于单个服务器，那么它可能容易受到远程攻击，这些攻击发送特殊设计的包，这些包提供对active directory的完全访问权。

博蒙特和其他研究人员继续发现人们正在积极开发攻击代码的证据，但到目前为止，还没有公开报告显示攻击是活跃的，无论是成功的还是未遂的。考虑到该漏洞的利害关系和公开可利用的大量信息，在未来几天或几周内看到这种肆无忌惮的攻击并不令人惊讶。