一名研究人员上周五表示，今年披露的最关键的Windows漏洞之一正受到黑客的积极攻击，这些黑客试图从存储网络上每个用户和管理账户凭据的服务器中获得后门。

该漏洞被命名为Zerologon。发现该漏洞的公司上个月说，该漏洞可以让攻击者立即访问活跃目录，管理员利用这些目录创建、删除和管理网络账户，这引起了广泛关注。活跃的目录和它们运行的域控制器是黑客中最令人垂涎的战利品，因为一旦被劫持，它们允许攻击者在所有连接的机器上一致执行代码。微软在8月修补了CVE-2020-1472，因为该安全漏洞被索引。

周五，以独立研究员身份工作的凯文·博蒙特(Kevin Beaumont)在一篇博客文章中表示，沐鸣开户测速他发现了针对蜜罐的攻击，他使用这个蜜罐来跟踪黑客在网络上使用的攻击。当他的诱饵服务器没有打补丁时，攻击者能够使用一个powershell脚本成功地更改管理密码并后门服务器。

比复杂更有问题的东西

博蒙特在接受采访时说，这次攻击似乎完全是照本宣科式的，所有命令都在几秒钟内完成。这样，攻击者就安装了后门，允许远程管理人员访问模拟网络中的设备。攻击者以用户名sdb和密码jinglebell110@注册了一个账户，并启用了远程桌面。因此，如果以后对CVE-2020-1472进行补丁，攻击者将继续远程访问。

Beaumont对Ars说:“我从中得到的教训是，攻击者正在以一种自动的方式，在互联网上喷洒，为未打补丁的Active Directory系统提供后门。”这不是什么好消息。它不是超级复杂，但这些攻击者正在做一些有效的事情——这通常是更有问题的。”

周五的发现是迄今为止最详细的关于利用关键漏洞的野外攻击。上个月末和本月初，微软警告称，沐鸣开户测速Zerologon正受到黑客的积极攻击，这些黑客都是与伊朗政府有关联的名为“水星”的威胁组织的成员。几个星期前，博蒙特的“蜜罐”也检测到了入侵企图。

研究人员将这一漏洞命名为Zerologon，因为攻击是通过使用Netlogon协议，在一系列信息中发送一串零来进行工作的。Windows服务器依赖Netlogon协议完成各种任务，包括允许终端用户登录网络。

没有身份验证的人可以使用该漏洞来获取域管理凭据，只要攻击者能够与脆弱的域控制器建立TCP连接。美国国土安全部(Department of Homeland Security)网络安全和基础设施安全局(cybersecurity and Infrastructure Security agency)上周五表示，在某些情况下，攻击者可能会利用一个单独的漏洞在网络中获得立足点，然后利用Zerologon接管域控制器。该机构表示，黑客攻击威胁到政府控制的选举系统。

为了有效，蜜罐通常必须降低许多网络上的标准防御。从这个意义上说，他们可以对现实世界中发生的事情给出一个片面的看法。然而，博蒙特的结果说明了当前zerologo对攻击的有效性和它们所取得的相关结果