对于CVE-2020-1472(Zerologon)安全性弱点的修补,微软在8月11日已经提供相关更新修补,随着此漏洞的相关信息持续曝光,仍让许多用户担心自己没做好修补,而有被黑风险,为了帮助厘清在相关更新情报方面的困惑,在10月2日,微软又公布了正确修补Zerologon漏洞的4大步骤,包括:修补、检查、处理与激活,同时也提供了相关细节。
这4大步骤如下:
(一)更新域名控制站(安装2020年8月11日发布的更新修补)
(二)通过监视事件记录,找出哪些设备正执行易受攻击的连接。
(三)为非合规设备处理易受攻击的连接
(四)在企业环境中激活强制模式,以完全解决CVE-2020-1472漏洞的隐忧。
基本上,面对这次公告的修补内容,企业用户首要因应工作就是进行更新。同时,微软已表示将采用Secure RPC机制,虽然他们表示在2021年2月9日才会是强制执行阶段,但企业用户现在就能着手处理Secure RPC的兼容性,前提就是要找出并解决第三方设备的安全性问题,否则,这些设备会无法正常运行。因此,现在这段期间等于是用户做好完全修补的缓冲期。
只是,上述修补信息,还是引起不少用户对于修补上的疑虑,例如,8月的更新修补是否就能足以抵御针对此漏洞的攻击,以及激活Secure RPC的差异又是什么?
毕竟,针对Zerologon漏洞的真正攻击已经出现,因此,这样的议题,不只是尚未修补的企业会关心,即便已经完成更新修补的企业,其实还是不太放心。
例如,我们采访该公司亚太区全球技术支持中心信息安全暨运营风险管理协理林宏嘉时,当时刚好目睹他接到一通来自企业用户的关切电话,他说,对方是公司的高层主管,因为前一阵子出现Zerologon攻击活动的新闻,因此致电询问,该公司的修补到底是否足以应对。而采访当天已经是10月7日,但林宏嘉说,该公司的负责人员,其实在8月12日就已经完成修补作业。
治标微软8月更新修补,已让该漏洞被利用几率大幅降低
对于这些修补上的疑虑,林宏嘉说,这次漏洞问题存在于使用已有多年的Netlogon远程协议,微软在第一阶段修补后,已经可以让外界没有办法利用这个风险,但是还有更周延的做法,因此需要第二阶段完全修补。
但真是如此吗?具体原因是什么呢?我们找了安全厂商奥义智能的说法,相互印证。
从风险上来看,该公司资深研究员陈仲宽提到,在漏洞修补之前,攻击者执行每256次的尝试中,就能有一次成功利用这个漏洞,向服务器端验证自己的身份,在安全企业Secura的报告中,已经指出这一点,而在微软修补之后,已使攻击成功几率下降到四百亿分之一左右,目前看起来是足够安全。
究其主要原因,陈仲宽说明,是因为漏洞存在该协议使用的加密验证算法中,细节部分就是软件实例不当,将一项安全属性IV数值固定为多个0(应为随机数值),导致每256次尝试就能成功利用。而在微软的修补中,虽然没有针对该IV初始值做变更,但通过检查Client Challenge前五个字节(byte),是否为不一致的方式,以此大幅降低被成功利用的几率。
不过,他还是提醒,未来是否有其他绕过方式,或降低复杂度的方式,则需要持续关注。因此,他仍建议企业要持续监控内网内认证的行为。同时,他也提到,由于许多漏洞的严重性、利用方式是随者时间演进的,因此在漏洞出现后,还是需要时常关注其变化。
如此看来,企业防护的首要工作就是进行更新,也就是做好微软8月安全性更新对此漏洞的修补,是可以获得一定的缓解。
治本现在企业其实已可提前进行完全修补
而在这次微软公布的修补信息中,不断提到激活Secure RPC,这又是什么意思呢?
微软林宏嘉表示,由于这次漏洞存在于Windows Netlogon远程协议,如果只是单纯使用微软产品的环境,要完全修补很容易,但若同时使用第三方软件或设备,而且也需要与Windows交互的情况下,仍有可能出现漏洞。因此,除了微软本身的修补,其他制造商也要配合。否则,一旦完全修补,将导致不支持secure RPC的第三方设备会无法正常运行。
而在微软重申的漏洞修补说明文件,第2到第4步骤其实就是与此有关。这里需要特别关注的是,该文件中指出微软将采secure RPC的机制来修补,而在4大修补步骤的附注中更是提到,若要完全降低第三方厂商设备的安全性问题,需要完成修补的所有步骤,另外,微软也提醒在明年2月9日后,将进入强制执行阶段。
对于激活secure RPC方面的问题,奥义智能创办人兼首席执行官邱铭彰表明,企业必须知道激活后才是完全修补,否则,在第二阶段secure RPC机制强制激活后,届时可能造成有些旧的服务会出现问题。
该公司陈仲宽也解释,在这次漏洞发生后,微软将逐渐采用secure RPC的机制。只是,在旧版RPC机制中,只有重要的参数会进行加密,而在新版secure RPC机制中,微软将整个RPC加密。此时不这么做的原因,是为了兼容许多旧版的RPC功能,因此并未强制激活。
因此,从上述内容来看,简单来说,企业做好微软8月安全性更新对此漏洞的修补,已经能够做到一定程度的缓解,同时,微软其实也已经提供用户完全修补的方法,现在就能激活secure RPC功能,但前提是,要找出不符合此机制的设备连接并处理解决。
而所谓的第二阶段修补,其实就是微软在明年2月9日发布更新后,将会强制激活这项机制。届时,企业除了要第三方厂商设备更新为支持secure RPC,或是通过群组原则,设置例外原则来允许连接。
出现结合其他漏洞及Zerologon的实质攻击事件
已有美国政府机关遭受APT黑客组织攻击,是对方在攻击中使用Zerologon漏洞入侵AD,在10月12日,美国政府发出的安全公告中,已经提到此事,这也提醒外界可不能再忽视此漏洞的修补。
美国网络安全暨基础架构安全局(CISA)发出安全公告,指出近日已侦测到工级事件,可能是不同APT黑客组织在单一攻击中,串联已知网络设备产品的旧漏洞,再利用Zerologon漏洞来入侵AD身份服务,并对域名内的计算机执行恶意程序。
目前这波攻击活动中,虽然他们只观察到结合Fortinet漏洞(CVE-2018-13379),以及MobileIron漏洞(CVE-2020-15505),被结合Zerologon漏洞来发动攻击,但他们提醒,其他相关网络产品旧漏洞也可能被利用,包括Juniper(CVE-2020-1631)、PulseSecure(CVE-2019-11510)、Citrix NetScaler(CVE-2019-19781)及Palo Alto Networks(CVE- 2020-2021)等。
这起事件给我们的警示是,由于Zerologon漏洞可让黑客轻易入侵AD,并且横向扩散,因此当黑客结合其他各式手法入侵,等于企业AD完全不设防。当然,这些网络设备的漏洞同样也要重视修补,才不会成为攻入企业内部的破口。