时间同步软件 Domain Time II 漏洞已存在14年，大量明星企业易受供应链攻击

Nichols 表示，他发现 Domain Time II 软件易受 Man-on-the-Side (MotS) 攻击。MotS 攻击类似于更为人熟知的中间人攻击 (MitM)。二者的不同之处在于，在中间人gongjizhong，威胁行动者可以篡改受害者的网络流量，而在MotS 攻击场景中，攻击者仅能观测到流量，之后在真正响应返回之前发布畸形响应。

而这正是 Nichols 发现的情况，他在本周二发布的博客文章中指出，威胁行动者如能访问受害者的网络流量，则可利用 MotS 攻击判断 Domain Time II 软件是否发布更新，之后以恶意更新指令响应，该指令向网络管理员展示弹出消息，诱骗管理员从虚假站点下载恶意软件。

Nichols 表示，他已证实2007年起的所有 Domain Time II 版本均受该漏洞影响（2007年的版本是 4.1.b.20070308）。

很多明星企业都在用

由于任何 Domain Time II 更新包都是以管理员权限安装的，因此 GRIMM 公司的管理层警告称，该漏洞可被滥用于完全控制服务器，而不仅仅是控制 app 本身。

但是，虽然鉴于查看和回复受害者网络流量所需的要求，攻击者可能难以利用该漏洞，即攻击者需要在公司网络上站稳脚跟，但收入丰厚且值得投入。原因就在于，Domain Time II 是当前使用最广泛的软件应用程序之一，几乎在所有行业中都拥有大量客户基数。

Domain Time II 用于管理和同步工作站和服务器之间的时间，而自从20实际70年代早期计算机刚兴起时这一问题就一直困扰着IT部门。

当前，全球很多规模最大的企业都在使用 Domain Time II 来解决内部网络和面向大众的服务的时间同步问题。从该软件的客户清单页面来看，它的客户不乏响当当的名字，如纳斯达克、Experian、Raytheon、SpaceX、Verizon、微软、惠普、AMD等等。

所属公司Greyware：更新已发布

Domain Time II 背后的公司 Greyware Automation Products 证实称，目前该漏洞已修复。

Greyware 公司总裁 Jeffry Dwight 表示， “2021年3月30日，我们收到了 GRIMM 公司的通知。”他还指出，该漏洞报告是准确的，感谢 GRIMM 公司的通知，已在3月31日发布升级，阻止了该 exploit。该公司指出，新发布版本被标记为“推荐”升级。为阻止该 exploit 被利用，所有客户均需升级。

Dwight 还详细说明了公司推出的修复方案：

（1）   对于早于 Windows 7/Server 2008r2 的 Windows 版本，我们已验证响应指向 https://www.greyware.com，并已检查源地址和reply-from 地址，从而阻止遭欺骗的看似一样的站带你进行验证，因为只有 https://www.greyware.com 具有一个 SSL 证书表明它是 Greyware。如 reply-from 地址和 send-to 地址不匹配，我们就会报错并将客户定向到直接访问 https://www.greyware.com/ 获取更新。

（2）   对于 Windows 7/Server 2008r2 及后续版本的所有 Windows 版本，我们首先检查 SSL 证书，确保 update.greyware.com 真正属于 Greyware，之后执行余下的验证部分。很老旧的 Windows 版本不支持查看该证书。如未通过证书检查，则我们会报错且不会执行 check-for-update 函数。

Dwight 指出，“GRIMM 公司积极响应我们的缓解方法，这表明缓解措施i可以解决这个漏洞问题。“

建议网络中使用 Domain Tools II 的企业更新至 v5.2.b.20210331。然而，企业是否安装这些更新本身就是一个问题，因为一些组织机构在修复老旧软件方面总会慢半拍。