关于Zerologon漏洞的影响,除了微软已在8月11日发布CVE-2020-1472安全性弱点修补因应,后续,我们看到多个软件平台也有相关动作,例如,在9月中旬,开源文件服务器软件Samba,以及台湾NAS设备厂商群晖科技,相继发布了关于Zerologon漏洞的修补公告。
不仅如此,随着Samba这次的修补,同时也影响到多个Liunx平台,因此我们在后续这段期间,又陆续看到OpenSUSE、Fedora与Ubuntu等,发布了相关的更新公告。
漏洞存在于通信协议,因此不只有微软Windows Server要修补
这次微软的Netlogon远程协议的漏洞影响有多大呢?首先,我们看到群晖科技,因为他们在9月17日,已经对旗下Synology Directory Server组件,发布了关于Zerologon的安全公告Synology-SA-20:21,指出这是重大风险,同时发布相关修补,建议用户升级至4.4.5-0101以上的版本。
对于这次Samba与群晖为何都受影响的问题,该公司安全事件应变组经理李宜谦表示,由于Samba.org是针对类Unix操作系统与微软Windows交互的开源实例,而微软Netlogon远程协议(MS-NRPC)是Active Directory(AD)服务器中的核心通信协议,意即Samba为完成与Windows交互必须实例。
而这次CVE-2020-1472漏洞,因为存在于通信协议,是通信协议规格的瑕疵,因此,在这样的关联之下,不是只有微软Windows Server受到影响,需要修补,只要是有实例该通信协议的产品,都需要修补或修改设置文件。举例来说,有实例AD的域名控制器(Domain Controller),就可能受此弱点影响。
他们同时确认内部IT架构是否受影响,以及评估自家产品风险
特别的是,在我们询问群晖修补Zerologon漏洞一事之外,他们也提供了身为受影响的设备商与企业用户,对此漏洞的因应经验与看法。
以这次事件而言,李宜谦表示,其实涉及了CSIRT与PSIRT的业务范畴。从一开始的掌握漏洞情报资料,确认内部使用的IT架构是否受影响,再到修正自家产品,迅速发布安全性更新。
对于多数将微软AD作为关键服务器的企业而言,面对这样的安全事件,必须紧急采取应变措施。李宜谦认为,企业若要能够快速应对,有两个关键因素,一是企业对内部资产的熟悉度,另一是要具备对业界安全信息的敏锐度。
另一方面,在9月17日,美国计算机网络危机处理暨协调中心(CERT/CC)正式公告弱点信息,群晖着手确认Zerologon也会影响Samba 4.7以下版本环境,这意味着也会影响到Synology Directory Server,于是他们立即采取产品安全事件的紧急应变措施,并在24小时内提供更新文件修补。
之所以能及时修补,李宜谦表示,其实他们在8月初此漏洞第一次被披露时,内部就已着手调查,并评估手上的产品与其密切相关,这是他们CSIRT与PSIRT之间的情报资料共享。
只不过,当时他们虽然发现可能有潜在风险,并研究可能的实例方式,但微软8月的CVE-2020-1472安全公告的细节并不多,因此,直到9月17日CERT/CC公告后,在当日完成修补。
附带一提的是,对于Synology的用户而言,用户会如何收到修补通知。他说,系统将通过电子邮件及DSM通知,用户也可设置组件自动更新功能;此外,在软件更新发布后,他们的网站上也会有安全公告,供用户可以通过RSS或电子报方式来接收通知。另外,他们也表示将遵循GDPR规范,目前不会主动监控DSM用户软件更新的状态。