本文通過翻譯整理相關(guān)資料，重新回顧Netlogon漏洞的危害與教訓(xùn)，及其最初被忽視的原因，可以為相關(guān)漏洞的披露與防護(hù)提供一定的參考與借鑒。

漏洞CVE-2020-1472，也被行業(yè)稱為“Zerologon”，在2020年8月11日(周二)首次發(fā)布時(shí)的CVSS 評(píng)分為8.8。對(duì)于特權(quán)提升漏洞來說，這個(gè)得分很高，但還不足以使其成為全球企業(yè)安全管理者的最高優(yōu)先級(jí)事項(xiàng)。但當(dāng)天晚些時(shí)候，微軟修改了它的更新，并將其的CVSS分?jǐn)?shù)定為10.0。Tenable研究人員Claire Tills表示：“微軟安全團(tuán)隊(duì)必然是發(fā)現(xiàn)了更多信息，才將分?jǐn)?shù)提升到了10.0，這對(duì)于特權(quán)提升漏洞來說十分罕見。”

在最初的時(shí)候，Zerologon漏洞并沒有引起人們廣泛關(guān)注。但在接下來的幾個(gè)月里，Netlogon漏洞迅速成為各大安全團(tuán)隊(duì)的關(guān)注重點(diǎn)。該漏洞不僅成為高級(jí)持續(xù)威脅(APT)工具包的常見組成部分，還讓美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)特別發(fā)布了一則以該漏洞為主題的警報(bào)，后來又追加了一項(xiàng)緊急指令，要求其國(guó)內(nèi)行政部門和機(jī)構(gòu)盡快應(yīng)用補(bǔ)丁修復(fù)漏洞。

Tills假設(shè)造成這種情況的原因是自動(dòng)抓取“周二補(bǔ)丁”摘要的用戶收到的信息表明CVSS分?jǐn)?shù)為8.8，而不是10.0。尋找最高優(yōu)先級(jí)漏洞的安全團(tuán)隊(duì)可能錯(cuò)過了微軟的 CVSS評(píng)分修訂以及將其定義為“更有可能被利用”的升級(jí)更新。

不過，還是有多位安全專家注意到了Zerologon漏洞的危險(xiǎn)性，而引起研究人員廣泛關(guān)注的關(guān)鍵因素就是它存在于Netlogon協(xié)議中。事實(shí)上，很多攻擊者喜歡應(yīng)用像Netlogon這樣無處不在的協(xié)議，因?yàn)樗麄兦宄刂滥繕?biāo)企業(yè)大概率會(huì)啟用該功能，而他們也正在尋找一個(gè)能讓他們事半功倍的漏洞。

如果CVE-2020-1472是在今天發(fā)布的，相信必然會(huì)引發(fā)更大的關(guān)注。但在2020年7月中旬至9月中旬期間，甲骨文、Adobe和微軟集中發(fā)放了眾多安全補(bǔ)丁，修補(bǔ)了超過800個(gè)安全漏洞。當(dāng)鋪天蓋地的漏洞信息撲面而來時(shí)，疏忽也就在所難免了。

我們一直在談?wù)摼瘓?bào)過載，Zerologon漏洞疏忽就是一個(gè)典型案例，關(guān)于該漏洞的信息有限，再加上同時(shí)發(fā)出多個(gè)其他的威脅警報(bào)，安全人員分不清警告和噪音，難以掌握最關(guān)鍵信息，最終導(dǎo)致了Zerologon漏洞在長(zhǎng)達(dá)一個(gè)月的時(shí)間內(nèi)無人問津。

攻擊者手中的利器

NetLogon組件是Windows上一項(xiàng)重要的功能組件，用于用戶和機(jī)器在域內(nèi)網(wǎng)絡(luò)上的認(rèn)證，以及復(fù)制數(shù)據(jù)庫(kù)以進(jìn)行域控備份，同時(shí)還用于維護(hù)域成員與域之間、域與域控之間、域DC與跨域DC之間的關(guān)系。當(dāng)攻擊者使用Netlogon遠(yuǎn)程協(xié)議(MS-NRPC)建立與域控制器連接的易受攻擊的Netlogon安全通道時(shí)，就會(huì)存在特權(quán)提升漏洞。成功利用此漏洞的攻擊者可以在網(wǎng)絡(luò)中的設(shè)備上運(yùn)行經(jīng)特殊設(shè)計(jì)的應(yīng)用程序。

這種攻擊具有巨大的影響：它基本上允許本地網(wǎng)絡(luò)上的任何攻擊者(例如惡意的內(nèi)部人員等)完全破壞Windows域，而且攻擊完全未經(jīng)身份驗(yàn)證，攻擊者不需要任何用戶憑據(jù)。

Zerologon吸引攻擊者的另一個(gè)原因是它可以插入各種攻擊鏈。網(wǎng)絡(luò)罪犯可以通過各種方法劫持聯(lián)網(wǎng)的計(jì)算機(jī)，例如使用釣魚郵件、供應(yīng)鏈攻擊，甚至能通過辦公區(qū)域內(nèi)為訪客提供的空的網(wǎng)線插口進(jìn)行攻擊，或是通過其他CVE獲得初始訪問權(quán)限。

微軟的Zerologon補(bǔ)丁分為兩部分，其更新修改了Netlogon處理Netlogon安全通道使用的方式。該修復(fù)對(duì)域中的所有Windows服務(wù)器和客戶端強(qiáng)制實(shí)施安全NRPC，破壞了漏洞利用過程中的第二步。微軟緩解措施的第二部分于今年2月發(fā)布，該公司警告管理員它將啟用“強(qiáng)制模式”以阻止來自不合規(guī)設(shè)備的易受攻擊的連接。

事實(shí)上，當(dāng)時(shí)荷蘭網(wǎng)絡(luò)安全公司Secura的安全專家Tom Tervoort發(fā)布了針對(duì)Zerologon漏洞的技術(shù)白皮書后不久，研究員們便開始編寫自己的概念驗(yàn)證程序(PoC)。在幾天內(nèi)，GitHub上就出現(xiàn)了至少4個(gè)展示如何利用該漏洞的可用開源代碼示例。這加快了企業(yè)修復(fù)漏洞的步伐，同時(shí)也促使CISA發(fā)布警報(bào)和緊急指令。

不幸的是，公開后的PoC不僅吸引了信息安全專家的注意，也引起了網(wǎng)絡(luò)罪犯團(tuán)伙的注意。2020年10月初，微軟報(bào)告了某中東地區(qū)APT組織Mercury利用Zerologon漏洞的企圖。該組織一直以政府機(jī)構(gòu)(尤其是中東的)為目標(biāo)，并且已經(jīng)在真實(shí)攻擊案例中利用該漏洞長(zhǎng)達(dá)2周的時(shí)間。

三天后，微軟又披露了威脅組織TA505對(duì)Zerologon漏洞的濫用案例。據(jù)悉，該組織利用漏洞的方式包括將該惡意軟件偽裝成軟件更新包，并濫用MSBuild[.]exe在受到感染的計(jì)算機(jī)上編譯攻擊工具。

另外，曾開發(fā)了勒索軟件Ryuk的黑客組織也利用Zerologon漏洞在5小時(shí)內(nèi)便成功感染一家企業(yè)的整個(gè)本地網(wǎng)絡(luò)。據(jù)悉，該組織向一名員工發(fā)送了一封釣魚郵件，待釣魚郵件被點(diǎn)擊并感染計(jì)算機(jī)后，他們便利用Zerologon漏洞侵入企業(yè)網(wǎng)絡(luò)，向網(wǎng)絡(luò)中所有服務(wù)器和工作站分發(fā)可執(zhí)行的勒索軟件。

在此之后，微軟陸續(xù)收到更多受到該漏洞利用影響的客戶報(bào)告。截止2021年7月，CISA研究報(bào)告數(shù)據(jù)顯示，Zerologon成為了2020年以來被利用次數(shù)最多的安全漏洞之一。

漏洞更新中的缺陷

攻擊者憑借研究人員發(fā)布的PoC迅速開展攻擊活動(dòng)的情況并不罕見。但另一方面，我們也看到了許多防御者開始加緊部署行動(dòng)。由于Zerologon的評(píng)分從8.8分升級(jí)至10.0分的更新僅在該漏洞的修訂歷史中被披露，因此直到一個(gè)月后Tervoort的技術(shù)白皮書發(fā)布時(shí)，該漏洞才引起了廣泛關(guān)注。而這長(zhǎng)達(dá)一個(gè)月的時(shí)間內(nèi)，各類威脅組織都在爭(zhēng)先恐后地開發(fā)他們的漏洞利用代碼，并積極地開展攻擊活動(dòng)。如果一開始，微軟能夠在分?jǐn)?shù)變化上做出更深入地溝通，那么防御者將可能會(huì)有更準(zhǔn)確的數(shù)據(jù)來確定他們的補(bǔ)丁優(yōu)先級(jí)。

雖然微軟公司在漏洞披露方面已經(jīng)被廣泛質(zhì)疑，其最近披露的Print Spooler漏洞也有與CVE更改類似的問題存在，但安全專家認(rèn)為，需要提高漏洞信息透明度的公司并非只有微軟一家而已。雖然微軟在去年年底從漏洞披露中刪除了執(zhí)行摘要，消除了有關(guān)如何瞄準(zhǔn)漏洞的信息，但它仍然提供CVE的修訂歷史，這是其他供應(yīng)商沒有的。

安全專家指出，系統(tǒng)供應(yīng)商需要在他們的安全公告中提供更高的透明度。擁有更詳細(xì)的信息可以幫助防御者確定補(bǔ)丁的優(yōu)先級(jí)，更好地抵御威脅。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文