如何缓解 Active Directory 中的 Zerologon 攻击

2020 年 8 月 11 日，Microsoft 发布了一个安全更新，解决了 Active Directory 中的一个严重漏洞。由于其严重性，它的 CVSS 评分为 10.0，使其成为有史以来最严重的 AD 漏洞之一。该漏洞之所以特别严重，是因为成功利用该漏洞的唯一要求是能够与域控制器建立连接。

Zerologon 漏洞是什么？

Zerologon，也称为 CVE-2020-1472，是 Microsoft Netlogon 远程协议 (MS-NRPC) 中的一个严重漏洞。 MS-NRPC 在 Active Directory 内的身份验证中发挥着至关重要的作用。此缺陷使攻击者能够绕过身份验证并获得管理员级别的权限。通过利用 Netlogon 远程协议，攻击者可以连接到域控制器 (DC) 并修改其密码，无需任何身份验证，只需网络访问。

目前已知的概念验证 (POC) 漏洞很活跃，这表明在不久的将来很可能发生现实世界的攻击。因此，网络安全和基础设施安全局 (CISA) 发布了一项紧急指令，指示政府机构和非政府组织修补或禁用受影响的 Windows 服务器。

Zerologon 攻击如何运作？

Zerologon 漏洞源于 ComputeNetlogonCredential 调用执行不力。该函数采用 8 字节质询作为输入，并使用会话密钥应用加密转换。结果是 8 字节输出。然而，AES-CFB8 方法的实现存在一个缺陷，这是较新的 Windows 版本中唯一允许的方法。为了安全地使用 AES-CFB8，需要随机初始化向量 (IV)。不幸的是，ComputeNetlogonCredential 将 IV 设置为 16 个零字节的固定值。此缺陷会导致加密弱点，其中加密零可能会产生零密文。发生这种情况的可能性是 256 分之一。此外，未加密的 Netlogon 会话不会自动拒绝。当这些缺陷结合在一起时，攻击者能够破坏身份验证过程并冒充他们选择的服务器。

以下是 Zerologon 攻击期间所采取步骤的摘要：

• 步骤 1：通过欺骗域控制器的身份并使用 8 个零字节质询和密文执行暴力攻击，与域控制器建立不安全的 Netlogon 通道。这平均需要 256 次尝试。
• 第 2 步：使用 NetrServerPasswordSet2 调用将 Active Directory 中域控制器帐户的密码更改为空。这会破坏域控制器的某些功能。
• 第 3 步：使用空密码连接到域控制器并使用 DRS 协议提取其他哈希值。
• 第 4 步：将域控制器密码恢复为本地注册表中存储的原始密码以避免检测。
• 第 5 步：使用第 3 步中提取的哈希值来发起各种攻击，例如金票或使用域管理员凭据传递哈希值。

微软如何解决 Zerologon 攻击漏洞

Microsoft 实施了两种解决方案来应对这种特定攻击。第一个解决方案拒绝具有相同初始字节的请求，但此措施仍然允许更长的暴力攻击。第二种解决方案拒绝所有 Windows 计算机帐户未签名或密封的通道，从而有效减轻攻击。尽管 Windows Netlogon 客户端通常会密封消息，但 Microsoft 选择允许非 Windows 计算机帐户进行未签名的会话，这在理论上使它们容易受到攻击。不过，微软于 2021 年 2 月发布了一个补丁来解决此问题并拒绝来自非 Windows 设备的不安全会话。

如何减轻 Zerologon 攻击

8 月份的 Netlogon 补丁为计算机帐户、信任帐户以及所有 Windows 和非 Windows DC 提供安全的 RPC 使用。它包括一个新的组策略，允许设备帐户使用易受攻击的 Netlogon 安全通道连接。该补丁还引入了 FullSecureChannelProtection 注册表项，可为所有计算机帐户启用 DC 强制模式，并记录被拒绝或可能被拒绝的帐户的事件。此外，这些补丁还对 Netlogon 协议进行了更改，以保护 Windows 设备、记录不合规设备的事件，并提供对所有加入域的设备启用保护（例外）的选项。

Microsoft 建议采取额外措施，尤其是在使用非 Microsoft 平台时。仅仅在域控制器上安装 8 月 11 日安全更新是不够的。虽然该补丁可以保护网络内的 Windows 设备，但非 Microsoft 设备仍然可能使域遭受攻击。为了解决这个问题，Microsoft 从 2021 年 2 月开始对非 Windows 设备上的帐户强制执行安全 RPC 使用。强制执行的第二阶段于 2021 年 2 月 9 日开始，所有 Windows 域控制器现在都启用强制模式，拒绝来自非 Windows 设备的易受攻击的连接。合规设备，除非它们被添加到适当的组策略中。

事件日志分析：应用八月（或更高版本）更新后，检查域控制器上的事件日志非常重要。在系统事件日志中查找以下事件 ID：

• 事件 ID 5827 和 5828 表示连接被拒绝。
• 事件 ID 5830 和 5831 指示基于“域控制器：允许易受攻击的 Netlogon 安全通道连接”组策略允许的连接。
• 事件 ID 5829 表示允许存在漏洞的 Netlogon 安全通道连接。

在配置 DC 强制模式或开始强制阶段（2021 年 2 月 9 日）之前解决这些事件。要分析影响，请使用脚本以 .evtx 格式导出事件日志。

检查不安全的设备或连接问题：更新域控制器后，请确保检查事件日志中是否有指示不安全的设备或连接问题的 Netlogon 事件。这将帮助您为更新的实施阶段做好准备。为了保持领先地位，建议立即对域控制器的组策略进行必要的修改，以测试和评估即将推出的 Netlogon 协议更改的影响。 2021 年 2 月，将启用并严格执行安全通道数据的加密和签名（始终），该设置目前处于非活动状态。

域控制器组策略的建议更改：在应用 2 月份的 Netlogon 补丁之前，建议立即测试域控制器的组策略并进行必要的更改。这是因为在 2021 年 2 月，将启用并强制执行有关加密和签名安全通道数据的设置。目前，该设置尚未启用。

启用 FullSecureChannelProtection 注册表项：或者，您可以启用 FullSecureChannelProtection 注册表项以对所有计算机帐户强制执行 DC 强制模式。将值设置为“1”会启用强制模式，而将其设置为“0”则允许来自非 Windows 设备的易受攻击的 Netlogon 安全通道连接。但是，此选项将在强制阶段版本中被弃用。

为不合规系统添加例外：8 月更新为已修补的域控制器添加了组策略，允许安全 RPC 通信中的不合规系统例外。如果这些系统在二月份强制执行后无法通信，您可以将这些传输列入白名单，并决定是否接受风险或与供应商合作解决问题并升级。

在域控制器上安装 8 月更新：要添加例外，请使用新的组策略“域控制器：允许易受攻击的 Netlogon 安全通道连接”并将其添加到域控制器的 OU。该策略应包括需要排除的帐户的安全描述符。请务必立即在域控制器上安装 8 月更新，并检查事件日志中是否有可能导致 2 月出现问题的旧系统。现在就开始调查，以免对二月份强制执行的影响感到惊讶。