Microsoft varuje, že Zerologon je zneužíván ve volné přírodě

2 min. číst

Publikované dne Září 24, 2020

publikováno dne Září 24, 2020

Čtenáři pomáhají podporovat MSpoweruser. Pokud nakoupíte prostřednictvím našich odkazů, můžeme získat provizi.

Před několika dny jsme informovali o US Homeland Security nařizuje správcům vládní sítě, aby okamžitě opravili svůj Windows Server 2008 a vyšší (včetně Windows 10 Server) po Zerologon zranitelnost se začaly šířit ve volné přírodě. Zerologon dokáže kompromitovat Windows server za pouhé 3 sekundy.

Nyní se k výzvě připojil Microsoft a řekl:

„Microsoft aktivně sleduje aktivitu hrozeb pomocí exploitů pro zranitelnost CVE-2020-1472 Netlogon EoP, nazývanou Zerologon. Pozorovali jsme útoky, kdy byly veřejné exploity začleněny do příruček pro útočníky.“

Microsoft aktivně sleduje aktivitu hrozeb pomocí exploitů pro zranitelnost CVE-2020-1472 Netlogon EoP, nazývanou Zerologon. Pozorovali jsme útoky, kdy byly veřejné exploity začleněny do příruček pro útočníky.

— Microsoft Threat Intelligence (@MsftSecIntel) Září 24, 2020

Exploit kód je již téměř týden široce dostupný, takže vývoj je očekávaný.

Tato chyba zabezpečení pramení z chyby ve schématu kryptografického ověřování používaného protokolem Netlogon Remote Protocol, který lze mimo jiné použít k aktualizaci hesel počítačů. Tato chyba umožňuje útočníkům vydávat se za jakýkoli počítač, včetně samotného řadiče domény, a provádět vzdálená volání procedur jejich jménem.

Vytvořením ověřovacího tokenu pro konkrétní funkčnost Netlogon mohou hackeři volat funkci pro nastavení hesla počítače řadiče domény na známou hodnotu. Poté může útočník pomocí tohoto nového hesla převzít kontrolu nad řadičem domény a ukrást přihlašovací údaje správce domény.

Vydala CISA Nouzová směrnice 20-04, který dává pokyn agenturám federální civilní výkonné pobočky použít aktualizaci zabezpečení ze srpna 2020 (CVE-2020-1472) pro servery Microsoft Windows na všechny řadiče domény.

CISA nařídila, aby vládní servery byly opraveny do tohoto pondělí, 21. září, ale také důrazně vyzvala své partnery ve státní a místní vládě, soukromém sektoru a americkou veřejnost, aby tuto aktualizaci zabezpečení použili co nejdříve.

Pokud servery nemohou aktualizaci okamžitě použít, vyzývají společnosti, aby odstranily příslušné řadiče domény ze svých sítí a rozhodně z internetu, s čím souhlasí i další bezpečnostní výzkumníci.

Pozor na všechny administrátory Microsoft AD! Pokud jste natolik blázni, že provozujete své servery s přímým připojením k internetu – jste ve *vážném* nebezpečí. Náplast #Zerologon jako..minulý měsíc! https://t.co/sCC2hM0PAj

— Kauto Huopio (@kaautoh) Září 24, 2020

přes ZDNet

Více o tématech: zabezpečení, Windows server, zerologon

Surur Davids

Expert na chytré telefony

Surur Davids je zakladatelem WMPoweruser, který se později stal MSPoweruser.com. Je to odborník na chytré telefony s více než desetiletými zkušenostmi.