電腦百事網(wǎng)9月21日消息 本周五晚些時候，美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CyberSecurity And Infrastructure Security Agency)發(fā)布警報，要求所有聯(lián)邦部門和機構(gòu)在周一之前 “立刻”為所有易受 “Zerologon” 攻擊的 Windows 服務(wù)器打補?。–VE-2020-1472），理由是政府網(wǎng)絡(luò)已面臨 “無法接受的風(fēng)險”。

電腦百事網(wǎng)了解到，這是 CISA 今年發(fā)布的第三次緊急警報。

Zerologon 漏洞的嚴(yán)重程度最高為 10.0，可支持攻擊者控制受攻擊的網(wǎng)絡(luò)上的任何計算機，包括域控制器（管理網(wǎng)絡(luò)安全的服務(wù)器）。

CISA 將該漏洞稱為 “Zerologon”，因為攻擊者不需要竊取或使用任何網(wǎng)絡(luò)密碼即可獲得域控制器的訪問權(quán)限，例如通過利用連接到網(wǎng)絡(luò)的易受攻擊的設(shè)備。憑借對網(wǎng)絡(luò)的完全訪問權(quán)限，攻擊者可以部署惡意軟件、勒索軟件或竊取敏感的內(nèi)部文件。

發(fā)現(xiàn)該漏洞的安全公司 Secura 表示，“實際上需要大約三秒鐘”才能利用該漏洞。

微軟在 8 月份推出了一個初步修復(fù)程序，以修補該漏洞。但考慮到該漏洞的復(fù)雜性，微軟表示，它必須在明年初推出第二個補丁，才能徹底根除該問題。