原始发行日期:2020年10月29日
微软发布了一篇有关利用CVE-2020-1472攻击网络威胁者的博客文章,该漏洞是微软Netlogon中的特权提升漏洞。远程攻击者可以利用此漏洞破坏未修补的Active Directory域控制器,并获得域管理员访问权限。网络安全和基础结构安全局(CISA)已观察到利用此漏洞的国家活动。这种恶意活动通常(但不仅限于)针对联邦和州,地方,部落和地区(SLTT)的政府网络。
CISA敦促管理员立即修补所有域控制器-直到更新每个域控制器之前,整个基础结构仍将处于易受攻击的状态,因为威胁参与者可以在几分钟内识别并利用易受攻击的系统。 CISA发布了补丁验证脚本,以检测未补丁的Microsoft域控制器。如果观察到CVE-2020-1472 Netlogon活动或检测到有效凭据滥用的其他迹象,则应假定恶意网络参与者已破坏了所有身份服务。
在接下来的几周和几个月中,管理员应采取Microsoft发行的指南中所述的后续操作,以准备计划于2021年2月结束的Netlogon迁移过程的下半年。
CISA鼓励用户和管理员查看以下资源,并应用必要的更新和缓解措施。
- Microsoft博客文章:利用Netlogon漏洞的攻击(CVE-2020-1472)
- 微软:CVE-2020-1472的八月安全通报
- Microsoft:如何管理与CVE-2020-1472相关的Netlogon安全通道连接中的更改
- CISA补丁验证脚本
- CISA联合网络安全咨询:AA20-283A APT行为者针对SLTT,关键基础设施和选举组织的漏洞链接
提供此产品时要遵守本通知以及本隐私和使用政策。