本文通過翻譯整理相關資料，重新回顧Netlogon漏洞的危害與教訓，及其最初被忽視的原因，可以為相關漏洞的披露與防護提供一定的參考與借鑒。

漏洞CVE-2020-1472，也被行業稱為“Zerologon”，在2020年8月11日(周二)首次發布時的CVSS 評分為8.8。對于特權提升漏洞來說，這個得分很高，但還不足以使其成為全球企業安全管理者的最高優先級事項。但當天晚些時候，微軟修改了它的更新，并將其的CVSS分數定為10.0。Tenable研究人員Claire Tills表示：“微軟安全團隊必然是發現了更多信息，才將分數提升到了10.0，這對于特權提升漏洞來說十分罕見。”

在最初的時候，Zerologon漏洞并沒有引起人們廣泛關注。但在接下來的幾個月里，Netlogon漏洞迅速成為各大安全團隊的關注重點。該漏洞不僅成為高級持續威脅(APT)工具包的常見組成部分，還讓美國網絡安全和基礎設施安全局(CISA)特別發布了一則以該漏洞為主題的警報，后來又追加了一項緊急指令，要求其國內行政部門和機構盡快應用補丁修復漏洞。

Tills假設造成這種情況的原因是自動抓取“周二補丁”摘要的用戶收到的信息表明CVSS分數為8.8，而不是10.0。尋找最高優先級漏洞的安全團隊可能錯過了微軟的 CVSS評分修訂以及將其定義為“更有可能被利用”的升級更新。

不過，還是有多位安全專家注意到了Zerologon漏洞的危險性，而引起研究人員廣泛關注的關鍵因素就是它存在于Netlogon協議中。事實上，很多攻擊者喜歡應用像Netlogon這樣無處不在的協議，因為他們清楚地知道目標企業大概率會啟用該功能，而他們也正在尋找一個能讓他們事半功倍的漏洞。

如果CVE-2020-1472是在今天發布的，相信必然會引發更大的關注。但在2020年7月中旬至9月中旬期間，甲骨文、Adobe和微軟集中發放了眾多安全補丁，修補了超過800個安全漏洞。當鋪天蓋地的漏洞信息撲面而來時，疏忽也就在所難免了。

我們一直在談論警報過載，Zerologon漏洞疏忽就是一個典型案例，關于該漏洞的信息有限，再加上同時發出多個其他的威脅警報，安全人員分不清警告和噪音，難以掌握最關鍵信息，最終導致了Zerologon漏洞在長達一個月的時間內無人問津。

攻擊者手中的利器

NetLogon組件是Windows上一項重要的功能組件，用于用戶和機器在域內網絡上的認證，以及復制數據庫以進行域控備份，同時還用于維護域成員與域之間、域與域控之間、域DC與跨域DC之間的關系。當攻擊者使用Netlogon遠程協議(MS-NRPC)建立與域控制器連接的易受攻擊的Netlogon安全通道時，就會存在特權提升漏洞。成功利用此漏洞的攻擊者可以在網絡中的設備上運行經特殊設計的應用程序。

這種攻擊具有巨大的影響：它基本上允許本地網絡上的任何攻擊者(例如惡意的內部人員等)完全破壞Windows域，而且攻擊完全未經身份驗證，攻擊者不需要任何用戶憑據。

Zerologon吸引攻擊者的另一個原因是它可以插入各種攻擊鏈。網絡罪犯可以通過各種方法劫持聯網的計算機，例如使用釣魚郵件、供應鏈攻擊，甚至能通過辦公區域內為訪客提供的空的網線插口進行攻擊，或是通過其他CVE獲得初始訪問權限。

微軟的Zerologon補丁分為兩部分，其更新修改了Netlogon處理Netlogon安全通道使用的方式。該修復對域中的所有Windows服務器和客戶端強制實施安全NRPC，破壞了漏洞利用過程中的第二步。微軟緩解措施的第二部分于今年2月發布，該公司警告管理員它將啟用“強制模式”以阻止來自不合規設備的易受攻擊的連接。

事實上，當時荷蘭網絡安全公司Secura的安全專家Tom Tervoort發布了針對Zerologon漏洞的技術白皮書后不久，研究員們便開始編寫自己的概念驗證程序(PoC)。在幾天內，GitHub上就出現了至少4個展示如何利用該漏洞的可用開源代碼示例。這加快了企業修復漏洞的步伐，同時也促使CISA發布警報和緊急指令。

不幸的是，公開后的PoC不僅吸引了信息安全專家的注意，也引起了網絡罪犯團伙的注意。2020年10月初，微軟報告了某中東地區APT組織Mercury利用Zerologon漏洞的企圖。該組織一直以政府機構(尤其是中東的)為目標，并且已經在真實攻擊案例中利用該漏洞長達2周的時間。

三天后，微軟又披露了威脅組織TA505對Zerologon漏洞的濫用案例。據悉，該組織利用漏洞的方式包括將該惡意軟件偽裝成軟件更新包，并濫用MSBuild[.]exe在受到感染的計算機上編譯攻擊工具。

另外，曾開發了勒索軟件Ryuk的黑客組織也利用Zerologon漏洞在5小時內便成功感染一家企業的整個本地網絡。據悉，該組織向一名員工發送了一封釣魚郵件，待釣魚郵件被點擊并感染計算機后，他們便利用Zerologon漏洞侵入企業網絡，向網絡中所有服務器和工作站分發可執行的勒索軟件。

在此之后，微軟陸續收到更多受到該漏洞利用影響的客戶報告。截止2021年7月，CISA研究報告數據顯示，Zerologon成為了2020年以來被利用次數最多的安全漏洞之一。

漏洞更新中的缺陷

攻擊者憑借研究人員發布的PoC迅速開展攻擊活動的情況并不罕見。但另一方面，我們也看到了許多防御者開始加緊部署行動。由于Zerologon的評分從8.8分升級至10.0分的更新僅在該漏洞的修訂歷史中被披露，因此直到一個月后Tervoort的技術白皮書發布時，該漏洞才引起了廣泛關注。而這長達一個月的時間內，各類威脅組織都在爭先恐后地開發他們的漏洞利用代碼，并積極地開展攻擊活動。如果一開始，微軟能夠在分數變化上做出更深入地溝通，那么防御者將可能會有更準確的數據來確定他們的補丁優先級。

雖然微軟公司在漏洞披露方面已經被廣泛質疑，其最近披露的Print Spooler漏洞也有與CVE更改類似的問題存在，但安全專家認為，需要提高漏洞信息透明度的公司并非只有微軟一家而已。雖然微軟在去年年底從漏洞披露中刪除了執行摘要，消除了有關如何瞄準漏洞的信息，但它仍然提供CVE的修訂歷史，這是其他供應商沒有的。

安全專家指出，系統供應商需要在他們的安全公告中提供更高的透明度。擁有更詳細的信息可以幫助防御者確定補丁的優先級，更好地抵御威脅。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文