「Zerologon」虛擬修補的價值

CVE 最近又發布了一個新的漏洞:CVE-2020-1472,並且登上了不少媒體版面。這個被稱為「Zerologon」的新漏洞可讓駭客利用 Netlogon 認證所使用的加密演算法來假冒任何電腦向網域控制站取得認證。

 簡單來說,這就是 Netlogon Remote Protocol (MS-NRPC 通訊協定) 的一個漏洞,會讓駭客能在網路上的裝置執行惡意程式。駭客可以利用 MS-NRPC 通訊協定向網域控制站 (Domain Controller,簡稱 DC) 認證以取得系統管理權限。

根據我們 ZDI 漏洞懸賞計畫研究人員 Dustin Childs 指出:「更糟糕的是,目前並無法徹底解決該漏洞,此次修補更新只是讓網域控制站可暫時保護裝置,下次的修補更新 (預定 2021 年第一季推出) 才會強迫 Netlogon 使用安全的 RPC 通訊協定來徹底解決這項問題。不過套用這個修補更新之後,您還是要調整網域控制站的設定。Microsoft 已針對這些設定發布了一份指南來協助系統管理員進行調整。」

已經有了修補更新,為何這還會是個大問題?


或許您會覺得:「如果已經有了修補更新,那這應該不是什麼問題。」。其實問題在於所謂的「修補」並非如想像的單純,您可以參考 Dustin 的這篇貼文來了解更多有關修補更新的難處。

漏洞的平均修補時間 (Mean Time to Patch,簡稱 MTTP) 大約是 60 至 150 天。這個 CVE 漏洞是 8 月初發布的,所以根據平均修補時間來算的話,修補程式更新的時間大約落在 2020 年 10 月至 2021 年 1 月之間。

您或許聽過業界的一個笑話,那就是:Patch Tuesday 後面緊接著就是 Exploit Wednesday,意思是:禮拜二修補更新發布之後,禮拜三就是駭客發動漏洞攻擊的時機。這當然是開玩笑,不過也點出一項事實:當每個月的第一個星期二 Microsoft 和 Adobe 釋出修補更新之後,駭客就會開始針對修補更新進行逆向工程來發掘如何攻擊廠商修補的漏洞,如此就能在客戶套用修補更新之前及早發動攻擊。

如果根據平均修補時間來推算,您的企業會有 2 至 5 個月的時間暴露於這個已知威脅。

那麼,您該如何確保自身企業的安全?


如果您是趨勢科技客戶,那很幸運地,您可以透過虛擬修補的方式來防範這項漏洞。這項技術可提供一層額外的保護,在您套用廠商正式修補更新之前,提早防範漏洞。這項技術會在駭客試圖攻擊漏洞時加以攔截,因此就好像修補了漏洞一樣。

虛擬修補是一種讓您企業依照自己適合的方式來管理修補更新的一道重要安全網。

採用趨勢科技,您就能讓虛擬修補成為您日常修補更新管理的後盾,防範 Zerologon 及其他數以千計的漏洞,您能夠防範的遠遠超過這個漏洞。

在 ZDI 漏洞懸賞計畫的加持下,我們的客戶甚至可在廠商正式釋出修補更新之前 81 天就能防範各種漏洞 (根據 2019 年的資料)。您或許會覺得這怎麼可能,答案非常簡單:當一個漏洞被送交至 ZDI 時,我們團隊就已經開始設法針對這項尚未修補的漏洞提供防護能力。

如需有關趨勢科技如何防護 CVE-2020-1472 漏洞的詳細資訊,請參閱我們知識庫的這篇文章

原文出處:“Zerologon” and the Value of Virtual Patching