微软宣布其内部防病毒工具现在能够检测ZeroLogon漏洞。Microsoft Defender for Identity现在可以及早检测到该漏洞，从而使安全团队可以快速识别攻击的来源以及攻击是否成功。

漏洞CVE-2020-1472（也称为ZeroLogon）会影响Microsoft的Netlogon远程协议，并且通用漏洞评分系统已将其严重程度评为10分（十分之十）。尽管Microsoft于8月发布了该漏洞的第一个补丁，但另一个补丁要等到2月才能发布，无论如何，组织可能需要几个月的时间才能确保对所有设备进行补丁。

因此，新的Microsoft防病毒更新可以提供一些急需的保护。通过结合使用新的Microsoft 365 Defender解决方案，企业可以在尝试对域控制器利用ZeroLogon漏洞的过程中检测威胁行为者。

检测和防御

有了Microsoft Defender for Identity警报，组织将能够检测到哪个设备正在尝试ZeroLogon模拟，相关的域控制器，目标资产以及任何模拟尝试是否成功。

“使用Microsoft 365 Defender的客户可以充分利用Microsoft Defender for Identity的信号和警报的功能，以及来自Microsoft Defender for Endpoint的行为事件和检测，” Microsoft程序经理Daniel Naim解释说。“这种协调的保护使您不仅可以观察对网络协议的Netlogon利用尝试，而且还可以查看与利用相关的设备进程和文件活动。”

十月下旬，微软警告称，ZeroLogon漏洞仍在野外被利用，攻击者针对未打补丁的设备。该公司的新安全解决方案应该为那些尚未安装必要补丁程序的公司提供更大的保护。