微軟發布史上最嚴重0day漏洞修複補丁，涉及到所有win服務器系統

程序員

CVE-2020-1472 | Netlogon特權提升漏洞

微軟周一表示，伊朗政府贊助的黑客目前在現實世界的黑客活動中利用Zerologon漏洞。

成功的攻擊將使黑客能夠接管稱為域控制器（DC）的服務器，這是大多數企業網絡的核心，並使入侵者能夠完全控制其目標。

該公司今天在一條簡短的推文中說，伊朗的襲擊已被微軟的威脅情報中心（MSTIC）檢測到，並且已經持續了至少兩個星期。

在過去的兩周內，MSTIC已在活動中使用CVE-2020-1472漏洞（ZeroLogon）觀察了民族國家演員MERCURY的活動。我們強烈建議打補丁。Microsoft 365 Defender客戶還可以參考以下檢測：https : //t.co/ieBj2dox78

-微軟安全情報（@MsftSecIntel）2020年10月5日

MSTIC將這些攻擊與該公司追蹤的一群伊朗黑客稱為 MERCURY
，但在他們的MuddyWatter的秘密掩護下更為知名 。

據信該組織是伊朗政府的承包商，該組織是在伊斯蘭革命衛隊，伊朗主要情報和軍事部門的命令下工作的。

根據微軟的《 數字防禦報告》，該組織曆來以非政府組織，政府間組織，政府人道主義援助和人權組織為目標。

盡管如此，微軟表示，水星最近的目標包括“與難民合作涉及的大量目標”和“中東的網絡技術提供商”

公開ZEROLOGON POC之後開始發動攻擊

Zerologon被許多人描述為今年披露的最危險的錯誤。該錯誤是Netlogon中的一個漏洞，Netlogon是Windows系統用來對作為域控制器運行的Windows Server進行身份驗證的協議。

利用Zerologon錯誤可以使黑客接管未打補丁的域控制器，並接管公司的內部網絡。

通常需要從內部網絡進行攻擊，但是如果域控制器處於聯機狀態，則還可以通過Internet進行遠程攻擊。

微軟在8月份發布了Zerologon（CVE-2020-1472）補丁，但 有關此錯誤的第一份 詳細記錄於9月發布，從而延遲了大多數攻擊。

但是，盡管安全研究人員推遲了發布詳細信息的時間，以給系統管理員更多的補丁時間，但Zerologon的武器化概念驗證代碼幾乎在詳細撰寫的同一天就發布了，在幾天之內激起了一波攻擊。

漏洞發布後， DHS給了聯邦機構三天的時間 來修補域控制器或將其與聯邦網絡斷開，以防止該機構期望的攻擊，而幾天後，他們確實這樣做了。

Microsoft使用CVE-2020-1472 Netlogon EoP漏洞（稱為Zerologon）的漏洞，正在積極跟蹤威脅行為者的活動。我們已經觀察到攻擊，其中將公共漏洞利用程序合並到攻擊者的劇本中。

—微軟安全情報（@MsftSecIntel）2020年9月24日

MERCURY攻擊似乎已在此概念驗證代碼發布後約一周的時間開始，並且大約在同一時間，Microsoft開始檢測到首次Zerozeroon利用嘗試。