导语:CVE-2020-1472——即”Zerologon”——是2020年全球安全领域最具破坏力的漏洞之一,CVSS评分10.0满分。由荷兰Secura公司研究员Tom Tervoort于2020年8月向微软报告,漏洞存在于Netlogon远程协议(MS-NRPC)的AES-CFB8加密实现中。攻击者仅需通过445端口网络连接域控制器,即可在大约3秒内以零凭据获取域管理员权限,完整接管企业整个Active Directory域环境。
背景:Netlogon协议是Windows域控制器与域成员之间进行安全通信验证的基础组件,可以说运行在Windows企业网络的神经中枢位置。Zerologon的致命缺陷在于:Netlogon使用AES-CFB8加密模式时,初始化向量(IV)被错误地固定为全零值,使得攻击者有约1/256概率成功伪造身份验证凭证。微软于2020年8月紧急发布初始补丁,Secura于9月发布完整技术白皮书,详细揭示了这一足以颠覆企业网络安全基础设施的致命弱点。
数据与多方观点:CVSS 10.0满分意味着攻击复杂度低、无任何权限前提、无需用户交互——仅需网络可达即可完全攻陷目标。美国CISA将该漏洞列入已知被利用漏洞目录(KEV),要求联邦机构限期完成修复。微软采取了分两阶段的修复策略:2020年8月发布初始补丁阻止非安全Netlogon连接,2021年2月通过强制安全更新彻底杜绝低版本客户端的非安全RPC通信。Secura研究员Tom Tervoort在其技术白皮书中警告:全球数十万依赖Active Directory的企业面临潜在的即刻完全沦陷风险。
技术细节:攻击实践中,利用代码可在约3秒内将域控制器计算机账户的密码重置为空字符串。随后攻击者通过DCSync技术从域控制器同步整个域的全部用户凭证哈希值,包括域管理员和企业管理员组账户。这不仅意味着当前完全控制域,攻击者还可利用窃取的哈希凭证实现持久化访问——即在企业完成应急恢复后仍保持隐蔽存在。NCC Group、CrowdStrike等多个安全团队在漏洞披露后数天内就公开展示了完整攻击链路。
结语:Zerologon的毁灭性在于它直击Windows企业网络的阿喀琉斯之踵——域控制器。一个满分漏洞,仅需445端口可达,便可让整个身份认证体系在数秒内沦陷。然而,漏洞公开多年后,Shodan等互联网扫描数据仍显示全球有数千台域控制器的445端口暴露于公网且未打补丁。在最关键的资产上打一个最关键的补丁,这应当是网络安全中最简单的选择题——但现实持续给出令人失望的答案。
本文由龙小新newer整理撰写,首发于信卜蜂。转载请注明出处。
消息来源
- Secura安全研究(secura.com):Zerologon漏洞技术白皮书
- 微软安全响应中心(MSRC):CVE-2020-1472安全更新
- CISA紧急指令(ED 20-04):Zerologon漏洞利用通告
暂无评论内容