原始發行日期:2020年10月29日
微軟發布了一篇有關利用CVE-2020-1472攻擊網絡威脅者的博客文章,該漏洞是微軟Netlogon中的特權提升漏洞。遠程攻擊者可以利用此漏洞破壞未修補的Active Directory域控制器,並獲得域管理員訪問權限。網絡安全和基礎結構安全局(CISA)已觀察到利用此漏洞的國家活動。這種惡意活動通常(但不僅限於)針對聯邦和州,地方,部落和地區(SLTT)的政府網絡。
CISA敦促管理員立即修補所有域控制器-直到更新每個域控制器之前,整個基礎結構仍將處於易受攻擊的狀態,因為威脅參與者可以在幾分鐘內識別並利用易受攻擊的系統。 CISA發布了補丁驗證腳本,以檢測未補丁的Microsoft域控制器。如果觀察到CVE-2020-1472 Netlogon活動或檢測到有效憑據濫用的其他跡象,則應假定惡意網絡參與者已破壞了所有身份服務。
在接下來的幾周和幾個月中,管理員應採取Microsoft發行的指南中所述的後續操作,以準備計劃於2021年2月結束的Netlogon遷移過程的下半年。
CISA鼓勵用戶和管理員查看以下資源,並應用必要的更新和緩解措施。
- Microsoft博客文章:利用Netlogon漏洞的攻擊(CVE-2020-1472)
- 微軟:CVE-2020-1472的八月安全公告
- Microsoft:如何管理與CVE-2020-1472相關的Netlogon安全通道連接中的更改
- CISA補丁驗證腳本
- CISA聯合網絡安全諮詢:AA20-283A APT行為者針對SLTT,關鍵基礎設施和選舉組織的漏洞鏈接
提供此產品時要遵守本通知以及本隱私和使用政策。