联邦调查局/国土安全部:政府选举系统面临活跃的Zerologon漏洞的威胁

2020-10-11 17:06:50

美国联邦调查局(FBI)和国土安全部(Department Of Homeland Security)的网络安全部门表示,他们检测到黑客利用Windows的一个关键漏洞攻击州和地方政府,在某些情况下,这些攻击被用来入侵用于支持选举的网络。

非特定APT(高级持续威胁的缩写)的成员正在利用名为Zerologon的Windows漏洞。它让已经在易受攻击的网络上站稳脚跟的攻击者可以访问管理员用来分配新帐户和管理现有帐户的全能域控制器。

为了获得初始访问权限,攻击者利用Juniper、Pulse Secure、Citrix(前身为NetScaler)和Palo Alto Networks等公司的防火墙、VPN和其他产品中的单独漏洞进行攻击。所有的漏洞-包括Zerologon-都收到了补丁,但正如周五国土安全部和联邦调查局的警告所证明的那样,并不是每个人都安装了补丁。这种不作为正在将各级政府和选举制度置于危险之中。

最近的这种恶意活动经常(但不完全是)针对联邦和州、地方、部落和地区(SLTT)政府网络。虽然这些目标似乎不是因为它们接近选举信息而被选择,但政府网络上存储的选举信息可能存在一些风险。

CISA知道一些情况下,这种活动导致未经授权进入选举支持系统;然而,CISA迄今没有证据表明选举数据的完整性受到损害。选举官员、他们的支持SLTT IT人员和供应商可以采取一些措施来帮助防御这种恶意的网络活动。

Zerologon的工作方式是在使用Netlogon协议的一系列消息中发送一串零,Windows服务器依赖Netlogon协议执行各种任务,包括允许最终用户登录到网络。只要攻击者能够与易受攻击的域控制器建立TCP连接,没有身份验证的人就可以利用该漏洞获得域管理凭据。要求与域控制器建立TCP连接很可能是攻击者利用VPN和防火墙将Zerologon链接起来的原因。

周五的建议为那些认为自己已经或可能已经受到损害的组织提供了一些指导。最重要的是,应该应用目标漏洞(其中一些漏洞已经存在超过一年),或者应该断开它们运行的硬件与其网络的连接。

我就是不明白。打开Windows Update,通过组策略将其安排在周六晚上2点运行。这就是他们要做的全部事情。这不应该是一个问题。这就像是说白宫很容易受到攻击,因为没有人锁前门。快把该死的门锁上!

是的,当然可以,因为我们生活的地方,域控制器都在运行支持的操作系统;如果你触摸它们,就会让人们尖叫停机;而且在你向他们展示CVE后,企业急于加快了你的资金请求……不会让他们做双重工作。更新就行了,白痴,这当然是个不错的建议;但是最需要它的地方通常是那些不能随便修补就走的地方。我认为目前最大的问题是,所有未应用ESU许可证密钥的2k8R2服务器都在1月份获得了最后一个补丁;而且他们需要的补丁比这要新得多。以任何理智的标准衡量,ESU的成本(或者最好是徒手杀死2K8R2并更换它)与风险相比都微不足道;但突然之间,我们进入了采购和成本合理性领域;而不是你为什么不现在就按下按钮呢?