研究人员上周披露Windows一项风险评分10.0的重大安全漏洞Zerologon,可让黑客黑入并控制公司Active Directory域名。美国国土安全部上周因而发布今年第4次紧急指令(Emergency Directive),要求所有政府机构应在周一午夜前修补好该漏洞。
最新编号CVE-2020-1472,又名为Zerologon的漏洞位于Windows Server中Active Directory核心验证组件Netlogon远程协议(MS-NRPC)中,可让未经授权的攻击者借由和域名控制器创建TCP连接时,送入假造的Netlogon验证令符而登录域名控制器,进而完全掌控所有AD域名内的身份服务,结果就是在域名下任何一台设备执行恶意程序。
这项漏洞安全风险达到最严重的10.0分。除了从网络上移除AD域名控制器外,目前唯一缓解威胁的方法就是安装微软8月11日发布的修补程序。
国土安全部20-04号紧急指令(Emergency Directive)指出,有鉴于联邦企业架构内受影响域名控制器之普遍、漏洞公告已持续30天以上,加上网络已流传攻击程序代码,美国网络安全暨基础架构安全局(CISA)要求联邦政府机关立即修补Windows Server中域名控制器的漏洞。
所有联邦机关应在9月21日周一的晚间11:59,将所有Windows Server安装8月安全更新,而所有新配发或之前未联网的设备,应在连上政府网络前确保做好技术及管理管控。本命令要求任何信息系统内的Windows Server AD域名控制器皆在修补范围内,包括代替政府搜集、处理、存储、传输、发送政府信息的IT系统。除了扫描任何漏洞外,CISA也建议政府机关使用其他方法来确定已部署好更新。
此外CISA也要求各政府机关要在9月23日的11:59前发送完成报告到CISA,包括现有系统安装更新,新系统也保证会在联网前修补好。
CISA表示之后也将对各机关展开遵循的审核验证,并预计10月初向国土安全部及美国行政管理和预算局(Office of Management and Budget,OMB)提交报告。
微软8月初的安全更新只是第一阶段修补,预计明年第一季再会做更完整的修补。