微軟8月Patch Tuesday修補的CVE-2020-1472重大安全漏洞,可讓未授權使用者取得管理員權限來控制整個網域,漏洞發現單位Secura在GitHub公布概念驗證攻擊程式,供企業確認其網域控制器是否曝險。(https://github.com/SecuraBV/CVE-2020-1472)

研究人員上周揭露Windows一項風險評分10.0的重大安全漏洞Zerologon,可讓駭客駭入並控制公司Active Directory網域。美國國土安全部上周因而發布今年第4次緊急指令(Emergency Directive),要求所有政府機構應在周一午夜前修補好該漏洞。

最新編號CVE-2020-1472,又名為Zerologon的漏洞位於Windows Server中Active Directory核心驗證元件Netlogon遠端協定(MS-NRPC)中,可讓未經授權的攻擊者藉由和網域控制器建立TCP連線時,送入假造的Netlogon驗證令符而登入網域控制器,進而完全掌控所有AD網域內的身份服務,結果就是在網域下任何一臺裝置執行惡意程式。

這項漏洞安全風險達到最嚴重的10.0分。除了從網路上移除AD網域控制器外,目前唯一緩解威脅的方法就是安裝微軟8月11日釋出的修補程式

國土安全部20-04號緊急指令(Emergency Directive)指出,有鑒於聯邦企業架構內受影響網域控制器之普遍、漏洞公告已持續30天以上,加上網路已流傳攻擊程式碼,美國網路安全暨基礎架構安全署(CISA)要求聯邦政府機關立即修補Windows Server中網域控制器的漏洞。

所有聯邦機關應在9月21日周一的晚間11:59,將所有Windows Server安裝8月安全更新,而所有新配發或之前未連網的裝置,應在連上政府網路前確保做好技術及管理控管。本命令要求任何資訊系統內的Windows Server AD網域控制器皆在修補範圍內,包括代替政府蒐集、處理、儲存、傳輸、發送政府資訊的IT系統。除了掃瞄任何漏洞外,CISA也建議政府機關使用其他方法來確定已部署好更新。

此外CISA也要求各政府機關要在9月23日的11:59前傳送完成報告到CISA,包括現有系統安裝更新,新系統也保證會在連網前修補好。

CISA表示之後也將對各機關展開遵循的稽核驗證,並預計10月初向國土安全部及美國行政管理和預算局(Office of Management and Budget,OMB)提交報告。

微軟8月初的安全更新只是第一階段修補,預計明年第一季再會做更完整的修補。


Advertisement

更多 iThome相關內容