Microsoftは、Zerologonが実際に悪用されていると警告しています

読書時間アイコン 2分。 読んだ


読者は MSpoweruser のサポートを支援します。私たちのリンクを通じて購入すると、手数料が発生する場合があります。 ツールチップアイコン

MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む

Exchangeサーバー

数日前に 米国国土安全保障省は、政府のネットワーク管理者にWindows Server2008にすぐにパッチを適用するように命令しました 以上(Windows 10 Serverを含む) ゼロログオンの脆弱性 野生に広がり始めました。 Zerologonは、わずか3秒でWindowsサーバーを危険にさらす可能性があります。

今、マイクロソフトは電話に参加し、次のように述べています。

「マイクロソフトは、Zerologonと呼ばれるCVE-2020-1472 Netlogon EoPの脆弱性のエクスプロイトを使用して、脅威アクターの活動を積極的に追跡しています。 パブリックエクスプロイトが攻撃者のプレイブックに組み込まれている攻撃を観察しました。」

エクスプロイトコードは、ほぼXNUMX週間にわたって広く利用可能になっており、開発が期待されています。

この脆弱性は、Netlogon Remote Protocolによって使用される暗号化認証スキームの欠陥に起因します。これは、とりわけコンピューターパスワードの更新に使用される可能性があります。 この欠陥により、攻撃者はドメインコントローラー自体を含むすべてのコンピューターになりすまし、リモートプロシージャコールを実行することができます。

特定のNetlogon機能の認証トークンを偽造することにより、ハッカーは、ドメインコントローラーのコンピューターパスワードを既知の値に設定する関数を呼び出すことができます。 その後、攻撃者はこの新しいパスワードを使用して、ドメインコントローラーを制御し、ドメイン管理者の資格情報を盗むことができます。

CISAが発行した 緊急指令20-04、 連邦民間行政機関に2020年XNUMX月のセキュリティ更新を適用するように指示する (CVE-2020-1472)MicrosoftのWindowsサーバーからすべてのドメインコントローラーへ。

CISAは、21月XNUMX日の月曜日までにパッチを適用して政府のサーバーに指示を出しましたが、州政府、地方自治体、民間部門、および米国国民のパートナーにも、このセキュリティ更新プログラムをできるだけ早く適用するよう強く要請しました。

サーバーが更新をすぐに適用できない場合は、関連するドメインコントローラーをネットワークおよび間違いなくインターネットから削除するよう企業に促します。これは他のセキュリティ研究者も同意しています。

ZDNetの

トピックの詳細: セキュリティ