Windows 爆出 Zerologon 重大漏洞專打 AD 網域 美府發佈緊急修補指令

美國國土安全部上周罕見發佈緊急指令，要求聯邦政府必須在周一午夜之前修補完成 Windows Server 一項可能導致駭客控制 Windows 網域重大漏洞。

國土安全部的緊急指令是根據美國網路安全暨基礎架構安全署 (Cybersecurity and Infrastructure Security Agency, CISA) 對這項名為 Zerologon 的漏洞帶來的風險而發出。

Zerologon 正式編號為 CVE-2020-1472，微軟已在 8 月的 Patch Tuesday 安全更新修補掉了，只是 9 月初出現了 4 個針對這項漏洞的概念驗證攻擊程式被公開，再度引起關注。

當用戶將其電腦登入 Windows 網域時，會使用 Netlogon Remote Protocol (MS-NRPC) 協定發出 RPC 呼叫，來和 Active Directory (AD) 網域控制器進行驗證。這項協定功能在於將電腦登入到伺服器（稱為 Netlogon 過程）。安全廠商 Secura 的研究人員 Tom Tervoort 發現，MS-NRPC Netlogon 連線使用的加密演算法上的瑕疵，使駭客得以假冒管理員身份登入網域控制器，進而在 Windows 網域上為所欲為，像是變更用戶密碼，或是在 Windows 網域中任何一台電腦上執行任意指令。

這項漏洞的 CVSS 3.0 Score 為 10.0，意為重大風險。早在 8 月微軟公佈時，已經說明網路上有針對該漏洞的可疑活動。微軟、安全廠商皆呼籲企業用戶應儘速安裝修補程式。

有鑒於該漏洞被駭的影響、已出現攻擊程式碼，加上美國聯邦政府內 Windows 網域控制器未修補情形普遍，CISA 於是要求政府機關的 Windows Server 元件漏洞最遲在同一晚上 11:59 前應完成修補。

來源：Threat Post