微软已经警告Windows10的用户,他们已经收到了关于Netlogon协议受到攻击的“少量报告”,它在8月份修补了它。
Windows maker继9月份警告攻击者利用提升影响Netlogon远程协议的权限漏洞(MS-NRPC)。
这是管理员用来验证Windows服务器的协议作为域控制器。它所包含的缺陷非常严重,以至于国土安全部的网络安全和基础设施安全局(CISA)命令美国政府机构为该漏洞应用微软的补丁–跟踪为CVE-2020-1472,也叫Zerologon——在8月份的补丁周二更新中发布后的三天内。
防御安全研究人员发现,该漏洞很容易被利用,成为更多机会主义攻击者的首要目标。但是当微软在8月11日星期二发布补丁时,一些系统管理员并不知道它的严重性。
攻击者可以利用该漏洞在欺骗Active Directory域控制器帐户后在网络上的设备上运行恶意软件。作为一种武器,在微软发布补丁后不久,它就有了一个额外的优势,即可以公开获取的概念证明zerolong漏洞攻击。
CISA警告各机构迅速修补该漏洞,因为Windows Server域控制器在美国政府网络中广泛使用,而且该漏洞的严重性评级罕见地达到10分之10。这促使CISA指示代理商在微软8月11日发布补丁的同一周应用该补丁。
微软已经更新了其该错误的支持文档以进一步明确。它建议管理员用补丁更新域控制器,监视连接到服务器的设备的日志,并启用强制模式。
微软和CISA特别担心网络攻击者可能利用该漏洞破坏美国选举。9月的公司警告说,中国、伊朗和俄罗斯黑客瞄准了拜登和特朗普阵营
”我们联系了CISA,它有发出额外警报提醒州和地方机构,包括参与美国大选的机构,“关于应用必要的步骤来解决这个漏洞,”微软说。
这个漏洞严重到足以让微软在2月9日强制实施“强制模式”之前发布一个注册表项,帮助管理员启用“强制模式”,2021年。
