FreeBufZeroLogon漏洞(CVE-2020-1472)防御性指南
本文插图
关于Zerologon(CVE-2020-1472)2020年09月11日 , 安全研究专家Tom Tomvvort发布了一篇安全博文 , 并披露了关于Zerologon漏洞的详细信息 。 随后 , 微软在八月份的补丁日也发布了针对CVE-2020-1472漏洞的修复补丁 。 根据研究人员的描述 , 由于Netlogon的加密实现中存在安全问题 , 导致攻击者可以通过利用该漏洞来劫持企业环境下的服务器设备 。 该漏洞将允许攻击者为活动目录域控制器的计算机账号设置密码 , 并从域控制器中导出凭证数据 。 针对该漏洞的原理及技术已经有很多研究人员分析过了 , 本文将主要介绍针对Zerologon攻击的安全防御相关的内容 。
执行攻击虽然目前社区已经有很多针对Zerologon漏洞的利用工具了 , 但我本人还是选择使用最新的Mimikatz版本 。 首先 , 我们来测试一下我们自己的系统是否受该漏洞影响:
本文插图
接下来 , 执行漏洞利用代码:
本文插图
此时 , 我们将能够执行一次DCSync攻击 , 并从目标域控制器中导出敏感数据了 。 需要注意的是 , 这种攻击行为将破坏域控制器的功能完整性 , 因此请谨慎而行 。
漏洞&攻击检测事件代码5805在这里 , 事件5805会在Zerologon攻击执行时生成 , 日志将存储在Windows主机的系统日志信道内 。 我们可以通过Splunk查询来找到这种类型的活动日志:
index=winlogs EventCode=5805结果如下:
【FreeBufZeroLogon漏洞(CVE-2020-1472)防御性指南】
本文插图
虽然在上面的样例中 , 计算机名称被设置成了mimikatz , 这样将导致NETLOGON无法通过域控制器验证 , 这里我们将其修改为“Server2” 。
事件代码4624+4742事件代码4624和4742同样会在漏洞利用代码执行时被触发生成 。 这里我使用了EVTX样本来执行下列查询:
index= [evtx_location] EventCode=4624 OR EventCode=4742Account_Name=”ANONYMOUS LOGON”| table name,MSADChangedAttributes,Source_Network_Address,Account_Name结果如下:
本文插图
我们可以看到 , 域控制器计算机账号的密码已经被修改了 , 并且记录了一次成功的匿名登录行为 。
Sysmon事件ID 3针对Zerologon攻击的另一种检测技术利用了Sysmon NetworkConnect事件和其强大Rule语句 。 当Zerologon事件发生时 , 攻击设备的网络连接将传入目标域控制器的LSASS进程 , 我们就可以通过下列Sysmon配置代码来监控这种类型的活动了:
<Rulename=“IncomingLSASSNetworkConnect”groupRelation=“and”><Imagecondition=“image”>lsass.exe</Image><Initiatedcondition=“is”>false</Initiated>index=sysmon RuleName=”Incoming LSASS NetworkConnect”| table Protocol,Initiated,SourceIp,DestinationIp结果如下:
本文插图
我们可以看到 , 主机192.168.1.43就是我们的攻击设备 , 它向192.168.1.156(目标域控制器)的LSASS进程建立了网络连接 。
推荐阅读
- 地火|S10被实锤恶性BUG!SN地火名场面有漏洞?网友:这不公平
- 移动支付|移动支付大漏洞来了:手机一丢,倾家荡产!
- 麦田军事观察|又发现新的漏洞,还得撒钱找俄罗斯,印度心里苦!S400还没有到货
- cnBeta|研究人员担心BleedingTooth蓝牙漏洞给Linux系统带来风险
- IT世界|手机丢失后很可能被利用,警惕!移动支付的一大漏洞
- IT世界警惕!移动支付的一大漏洞,手机丢失后很可能被利用
- p2p行业|移动支付的漏洞:手机一丢,“倾家荡产”!
- 人民法院报|委员建议引入“暂停刑罚执行制度”,堵住“纸面服刑”漏洞
- 前瞻网|海底捞:漏洞让票贩子有机可趁,花钱免排队?中消协点名海底捞排队乱象
- 航空视界|刚堵漏洞制氧系统又停摆,俄罗斯雪上加霜,国际空间站传来坏消息