Microsoft 正在努力为 Microsoft Defender for Identity 添加对青铜位攻击检测的支持，以使安全运营团队更容易检测滥用 Windows Kerberos 安全绕过错误的尝试，跟踪为 CVE-2020-17049。

Microsoft Defender for Identity（以前称为 Azure 高级威胁防护或 Azure ATP）是一种利用本地 Active Directory 信号的基于云的安全解决方案。

它使 SecOps 团队能够检测和调查针对注册组织的受损高级威胁、身份和恶意内部活动。

两个月后落地

微软在 Microsoft 365 路线图上解释说：“当有证据表明使用 BronzeBit 方法尝试使用可疑 Kerberos 委派尝试时，将触发警报，其中用户试图使用票证委派对特定资源的访问。”

该漏洞（由 Microsoft 在 2020 年 11 月的补丁星期二期间修补）可以在发现的安全顾问 Jake Karnes 将其命名为Kerberos Bronze Bit 攻击中被利用。

微软通过分两阶段的部署解决了 Bronze Bit 漏洞，初始部署阶段在 12 月 8 日，自动实施阶段在 2 月 9 日。

在微软发布 CVE-2020-17049 补丁一个月后，Karnes 发布了概念验证 (PoC) 漏洞利用代码以及有关如何使用它的完整详细信息。

该漏洞可以绕过 Kerberos 委托保护，允许攻击者提升权限、冒充目标用户并在受感染的环境中横向移动。

他分享了有关Kerberos协议的其他信息的低级概述，包括实际利用场景以及实施和使用 Kerberos Bronze Bit 攻击易受攻击的服务器的详细信息。

所有这些附加细节和 PoC 漏洞的发布可能会使攻破未针对 CVE-2020-17049 修补的 Windows 服务器变得容易得多，这可能促使 Redmond 向 Microsoft Defender for Identity 添加青铜位检测支持。

PrintNightmare 和 Zerologon 攻击检测也可用

在7月，微软还增加了支持PrintNightmare包括开采后检测到微软后卫身份Zerologon在2020年11月开发检测。

两者都是严重的安全漏洞，PrintNightmare (CVE-2021-34527) 允许攻击者通过将权限提升到域管理员来接管受影响的服务器，而 Zerologon (CVE-2020-1472) 可被利用来提升权限以欺骗域控制器帐户导致对整个域的完全控制。

多个威胁行为者，包括诸如Vice Society、Conti和Magniber等勒索软件团伙，已经使用 PrintNightmare 漏洞攻击未修补的 Windows 服务器。

自10 月底和9 月以来，国家支持的和出于经济动机的威胁行为者也在利用未修补的系统来抵御 ZeroLogon 漏洞，此后更多人加入，包括：

• 伊朗支持的 MuddyWater 黑客组织（又名 SeedWorm 和 MERCURY），
• TA505（又名 Chimborazo）以提供Clop勒索软件的传送渠道而闻名，
• 中国 APT10 黑客。

同样在 7 月，Microsoft 推出了另一个 Defender for Identity 更新，该更新使安全运营 (SecOps) 团队能够通过锁定受感染用户的 Active Directory 帐户来阻止攻击企图。

Defender for Identity 与 Microsoft 365 E5 捆绑在一起，但是，如果您还没有订阅，您还可以获得安全 E5 试用版，以试用这些功能。