AD网域渗透漏洞冲击企业安全！

这一个月来，Zerologon漏洞的消息不断，这个编号为CVE-2020-1472的漏洞，不论是微软、揭露漏洞细节的研究人员，以及美国-官方，还有多家资安业者业者，都相继发出相关公告与分析报告，提醒企业与组织需要注意这项风险，并且要实际采取行动修补。

这个漏洞之所以备受重视，主要原因在于，这是近年来与Active Directory（AD）服务器有关的最大漏洞，达到CVSS 3.0风险评分的满分（10分）。更不容企业组织忽视的是，在10月上旬，微软指出已侦测到攻击活动，使得这项原本就是重大（Critical）风险的漏洞，已经变成企业实实在在的威胁。

不仅如此，从漏洞的影响层面来看，虽然微软已经表示，目前的更新修补已经能够缓解并降低风险，要Windows用户不用太过担心，但另一方面，由于这项漏洞将分成两阶段修补，仍可看出这次漏洞的影响层面并不小，而这也是容易被外界忽略的部分。

举例来说，不只是Windows的修补，开源码档案服务器软件Samba也受波及，事实上，实作AD网域控制器（Domain Controller）就可能受弱点影响，因为弱点存在于通讯协定，而微软可能也是需要给予第三方有时间因应，再做到第二阶段修补。

无论如何，对于企业而言，了解这次漏洞的风险及严重性，尽早做到修补是最重要的事。同时，对于相关漏洞及修补的掌握，也应要持续关注。

多家资安业者警示Zerologon漏洞相当严重，美国-已积极因应

关于CVE-2020-1472的漏洞，是由Secura研究人员Tom Tervoort通报给微软，微软已经在8月安全性更新提供相应的修补。简单来说，这个漏洞存在于Netlogon远端协定（Netlogon Remote Protocol，MS-NRPC），用来更新密码的加密验证算法，他并将此漏洞命名为Zerologon。

而这样的漏洞，将让入侵企业的攻击者连结到AD网域控制器时，无须经过身份验证加入AD网域，就能成功利用漏洞，而成为该网域管理员，也就是说，能控制公司AD网域，并危及所有连网电脑。同时，研究人员也提供了相关概念验证（POC）攻击程式，供企业验证其网域控制器是否曝险。

基本上，随着微软在8月11日发布安全修补，对于在这一个月内，已经确实完成此漏洞修补的企业与组织而言，其实可以较为放心。

不过，对于知道漏洞还没来得及修补的企业而言，就该加紧脚步。因为攻击活动已经出现，至于根本还没注意到漏洞的企业，更该检视漏洞及修补情资方面的能力。

在微软公布漏洞修补一个月后，除了CVE-2020-1472漏洞研究报告的揭露，相关漏洞的警示与资讯也已出现。

例如，在9月18日，我们看到美国国土安全部发布紧急指令（Emergency Directive 20-04），要求该国-机关需在21日午夜之前修补，并需在23日午夜之前送交报告。这不仅是美国官方对此漏洞的重视与应对，其实也让外界对此漏洞的关注度更增加，等于是提醒著企业必须尽快做到修补。

重大风险已成实际威胁，美国-10月已发现相关攻击事件

更让企业不容忽视的是，相关攻击程式的出现，以及攻击活动的发现，对于尚未修补的企业而言，这意味着风险更高并成实际威胁。

例如，在9月22日，台湾资安业者奥义智慧发布了中文版的Zerologon漏洞解析报告，当中并指出他们当时的发现网络上出现针对上述漏洞的自动化攻击程式，包括相关Mimikatz模组、以及PowerShell攻击脚本等，这意谓著很快就可能出现真正的攻击。而在9月24日，微软威胁情报中心（Microsoft Threat Intelligence Center，MSTIC）也在Twitter发文，说明他们正持续追踪针对此漏洞的威胁活动，并已观察到有人将漏洞利用整合到公开的攻击程式中。

果不其然，到了10月1日有了更多事证，微软Microsoft Defender ATP成员在官方技术社群网站发表一篇文章，指出他们在9月13日到29日期间，每天都观察到锁定Zerologon漏洞的攻击迹象。换句话说，骇客很早就在尝试如何利用此漏洞来攻击。

最近，10月12日，美国网络安全暨基础架构安全署（CISA），及联邦调查局（FBI）联合发布公告，更是证实此漏洞带来的实际威胁，因为当中的内容指出，已有-机关遭受APT骇客组织的攻击，指出对方会串连已知网络设备产品及Zerologon漏洞， 例如，骇客先借由Fortinet FortiOS的SSL VPN漏洞（CVE-2020-13379），或是行动装置管理平台MobileIron的漏洞（CVE-2020-15505），渗透至企业内部网络，然后利用Zerologon来入侵AD身份服务，再以受害者的账号密码存取-网络。他们同时提醒，骇客也可能串连其他网络产品近一年的严重漏洞，包括Citrix NetScaler的CVE-2019-19871漏洞、Pulse Secure CVE-2019-11510等。

网域渗透漏洞风险高，若遭滥用将让骇客轻易取得网域控制权

尽管漏洞预警不断，但是，Zerologon漏洞带来影响到底有多严重？可能还是有人不够了解，对此，我们找到多位专家说明。

关于CVE-2020-1472的漏洞，台湾资安业者奥义智慧资深研究员陈仲宽指出，这是一个罕见可直接绕过身份认证、存取网域高权限的漏洞。

他表示，虽然过去也有不少CVSS是10分的漏洞，但必须要注意的是，这次的网域渗透漏洞的泛用性高，且攻击技术门槛低。他举例，过去常用于网域渗透测试的漏洞不少，包括CVSSv2.0为9分的CVE-2014-6324、CVSSv3.0为8.1分的CVE-2017-0144（Enternal Blue），CVSSv3.0为5.9的CVE-2019-1040，以及CVSSv3.0为9.8分的CVE-2019-0708。虽然上述漏洞其实都还没有被评到10分，但都已经常被实际应用于网络攻击中，尽管CVSS并不代表一切，但从这些被评为高分案例的结果可已看出，这次CVSSv3.0为10分的CVE-2020-1472漏洞，危害程度相当高。

换个角度来看，骇客其实最爱这种远端直接可以提权的漏洞，奥义智慧的创办人兼首席执行官邱铭彰说。因为，这可以很轻易地瓦解企业的资安设定，而且，这个漏洞可让攻击者无须加入AD，只要透过445埠连接到网域控制器，就能展开攻击。

我们该如何因应？首先是落实漏洞修补，微软已经不断提醒用户更新修补。我们也向微软询问，该公司亚太区全球技术支援中心资讯安全暨营运风险管理协理林宏嘉表示，已经做好8月安全性更新的企业，现阶段可不必担心，而他在8月当时也曾提醒企业用户，包括用户端的更新，且服务器端设定要同时进行。

对于这次漏洞的严重性，林宏嘉也表示，若以CVSS评分来看，在近年与AD相关的重大漏洞中，这次CVE-2020-1472（Zerologon）确实是最严重。

企业若对于AD修补不积极，骇客就可能会在这一两年持续利用

但值得关注的是，虽然Zerologon已经有了修补更新程式，为何还是引发关注？除了尚未修补的企业要尽快更新，已经修补的企业也不能大意。

对于尚未修补的企业而言，面对这些接连不断的消息，应该要能了解到上述Zerologon漏洞的严重性，赶紧因应。

事实上，以一般情况而言，在厂商释出更新当下，看似修补就可解决问题，但相对地，骇客也可能在同一时间关注，利用企业需要时间修补的空窗期，对方会从更新发布掌握到最新的已知漏洞，并设法找出漏洞利用方式，以在企业更新修补之前加以利用。

后续，随着时间的推移，骇客逆向工程破解漏洞时间越多，企业面对的风险也越来越高。例如，发现漏洞的Secura资安研究人员，在微软释出修补的30天后公布其研究，这不仅是让资安人员与开发人员了解漏洞成因，做为借镜或避免同样问题的发生，但这也让关注漏洞的攻击者可能更容易找出攻击方式，因此，研究人员同样提醒用户尽速修补。

在此之后，我们也注意到不少资安业者发布相关漏洞情资，包括奥义智慧、趋势科技，以及微软、Cisco与Palo Alto Networks等，希望企业知道相关风险，并及早因应，以及揭露相关攻击活动。

只是，就现实面而言，在漏洞修补实务上，企业可能有难题要面对。例如，过去我们曾看到趋势科技的一份调查，指出企业平均约要30天左右时间，才能完成修补程式测试。

对此，微软林宏嘉认为，在微软近年的教育之下，企业修补意愿已经比过去好上许多。而在修补速度方面，他说，有企业在8月11日、12日就采取行动，也就是微软发布更新修补后的一两日内完成修补，但他也坦言，有企业环境是无法随时保持更新，他举例，像是在隔离区，不能对外直接更新等。

至于是否可能有用户担心，更新修补后容易造成不稳定的现象？他表示，可能是过去用户有不好的经验造成，因此后来只要网络上又传出更新灾情，就使得大家更新时间跟着延后。不过他认为，要从实际发生案例的比例来看，会比较精准，其实很多都是极少的个案。

对于企业修补一事，奥义智慧创办人兼首席执行官邱铭彰说明了他们的观察。他说，对于越复杂的核心系统，IT人员可能会倾向越晚更新，毕竟了解更新后是否有灾情，以及修补程式测试，以及相容性方面的问题，都需要时间。而像是AD这样关键的系统，甚至有企业可能是决定暂时不更新的情况，担心造成变化或是服务中断。因此，邱铭彰指出，上述情形一旦发生，也就是这次漏洞之所以可能严重后果的另一个原因。

他认为，只要企业AD的更新修补态度比较保守，漏洞就可能持续被利用，相关攻击甚至可能在近一两年都会继续发生。显然，这可能也是为何许多资安业者相继发出警示的原因。

微软表示已修补该漏洞的企业，现阶段可以不必担心

另一方面，由于微软表示这次CVE-2020-1472漏洞的修补，将分为两阶段进行，对于已经修补的企业而言，随着后续相关资讯与报导不断，这也使得有些企业担心，修补更新后是否真的足以抵御针对此漏洞的攻击。

对于这些修补上的疑虑，林宏嘉提出更清楚的说明，他说，这次漏洞问题存在于使用已有多年的Netlogon远端协定，在微软的第一阶段修补中，已经可以让外界没有办法利用这个风险，但是他们还有更周延的作法，因此会在第二阶段强制完全修补。而第二阶段的修补时间，是在2021年的2月9日。

因此，对于企业而言，面对Zerologon漏洞的威胁，企业及组织必须在微软提供的8月安全性，针对AD的网域控制器更新，如此一来，现阶段应足以缓解此漏洞所带来的风险。不过，要能够更完善地修补，则还要依循微软所提的检查与处理动作，最后并启用“强制模式”，也就是让secure RPC能够启用在整个内网环境中，但前提就是要企业环境中，其他装置制造商与软件厂商可以支援secure RPC。而第二阶段的修补，其实就是要强制启用。

不只影响微软操作系统，许多会用到AD的软件及服务都要修补

对于上述Netlogon远端协定修补的影响，微软同时提到，这不只是攸关Windows，而我们在9月中旬也看到Samba与群晖发布Zerologon的修补。

同时，我们也从美国电脑网络危机处理暨协调中心（CERT/CC），找到与这次事件相关的漏洞公告VU#490028，发现当中公布的内容是，列出至少有20家厂商受影响，包括Google、CentOS及多个波及多个Linux平台等，而ubuntu、opensuse与Fedora等，也因Samba相继发布更新通知。因此，企业对于Zerologon漏洞的修补动向，仍需要持续关注。

 Zerologon漏洞大事记 

 2020年8月11日 

 微软发布8月安全性更新，包括CVE-2020-1472漏洞的资安公告 

在8月修补的17个重大漏洞当中，CVE-2020-1472存在于Netlogon远端协定（NetlogonRemote Protocol，MS-NRPC），并因为是权限提升漏洞中少见的重大漏洞而受关注。

 2020年9月11日 

 研究人员揭露CVE-2020-1472漏洞细节，并将这个关于Netlogon的漏洞，正式命名为“Zerologon” 

资安业者Secura研究人员Tom Tervoort在9月11日于该公司部落格，揭露CVE-2020-1472漏洞细节，使得此漏洞的风险受到外界更大的关注。

 2020年9月17日 

 NAS厂商群晖发布资安公告，针对受影响的Synology Directory Server提供更新修补 

群晖在台湾时间9月17日，针对受CVE-2020-1472漏洞影响的Synology Directory Server，提供新版修补程式。他们表示，是在17日收到美国CERT/CC通知，即于当日完成修补释出更新。

 2020年9月18日 

 美国国土安全部发布紧急指令Emergency Directive 20-04，下令3日内修补CVE-2020-1472漏洞 

面对Zerologon漏洞，美国官方表现出高度重视的态度，下令该国-组织需在21日午夜之前修补，也就是3天之内就修补完毕，并需要在23日回报修补状况，以确认机关做好修补。

 2020年9月18日 

 开源码档案服务器软件Samba发布资安公告，针对Zerologon漏洞提供更新修补 

可让Unix加入Windows的网域的Samba，也会受此漏洞影响，在9月18月22日释出多种版本的修补更新。美国网络安全暨基础架构安全署（CISA）也对Samba修补一事，向企业及组织发出警告，提醒用户更新。

 2020年9月22日 

 资安厂商奥义智慧提供漏洞解析与警示，并指出已发现相关的自动化攻击程式 

奥义智慧在9月22日于该公司部落格发布文章， 强烈提醒国内企业及组织应重视Zerologon漏洞的修补，并指出他们在不到一天时间内，就发现相关自动化攻击程式已公开在网络上，包括相关Mimikatz模组、以及PowerShell攻击脚本等。

 2020年10月1日 

 微软自9月13日已经侦测到相关攻击活动 

微软Microsoft Defender ATP成员10月初在官方技术社群网站发文指出，在微软8月安全性更新后的最初几周内，他们并未观察到任何攻击活动是符合利用此弱点。不过，在9月13日后警报数量激增，虽然当中有许多的活动是资安研究人员的红队演练或渗透测试，但已有少数的案例属于正式的攻击行动。

 2020年10月2日 

 微软重申Zerologon严重漏洞的正确修补方法，共包含4个步骤 

在漏洞修补一个半月之后，微软为避免用户的困扰，再次发布关于此漏洞的修补方法，在此修订版中提供了更详细的说明文件，当中提供了4大修补步骤，以及相关参考资料，让用户了解如何杜绝此漏洞。

 2020年10月6日 

 已有骇客组织锁定Zorelogon漏洞发动攻击 

微软威胁情报中心透过Twitter警告，指出伊朗骇客集团Mercury正利用此漏洞。而在10月12日，美国CISA也发布资安公告，指出发现有不同APT组织在单一行动中，串连已知网络设备产品漏洞及Zerologon漏洞，该国已有机关遇害。

 Zerologon为何分成两阶段修补？

关于为何微软要将CVE-2020-1472（Zerologon）漏洞分成两阶段修补一事，是因为很难修补吗？应该有不少人对于这样的情况感到相当好奇，在微软亚太区全球技术支援中心资讯安全暨营运风险管理协理林宏嘉的答复中，我们了解到更多细节。

林宏嘉强调，基本上，这次漏洞问题存在于使用已有多年的Netlogon远端协定，在微软的第一阶段修补中，已经可以让外界没有办法利用这个风险，但是还有更周延的作法，因此需要第二阶段完全修补。

之所以微软会分成两阶段修补，他先强调一件事，就是关于Netlogon远端协定，其实有很多第三方软件或工具，需要用到这样的界面去做登入验证的动作。因此，现实环境很复杂，厂商修补更新并非简单的事，不是本身修补没问题就可以，还要看别人是否有问题。否则，如果微软一旦完全修补，将会造成其他人可能都不会通的情况。

而根据微软在CVE-2020-1472漏洞修补的相关文件，已经指出微软将采secure RPC的机制，强制启用后就能够完全修补，不过，在第一阶段的修补中，这项机制并非强制执行，需要用户手动启用。也难怪在微软提供4大修补步骤之外，还额外说明，只要安装2020年8月11日发布的更新，将能解决CVE-2020-1472漏洞对Active Directory网域及Windows装置的问题。但要完全降低第三方厂商装置的安全性问题，则需要完成所有步骤。

 相关报导  Zerologon资安风险大解析