Microsoft ostrzega, że Zerologon jest wykorzystywany na wolności
2 minuta. czytać
Opublikowany
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Zgłosiliśmy kilka dni temu na Departament Bezpieczeństwa Krajowego USA nakazuje administratorom sieci, aby natychmiast załatali system Windows Server 2008 i nowszych (w tym Windows 10 Server) po Luka w zabezpieczeniach Zerologon zaczął rozprzestrzeniać się na wolności. Zerologon może zaatakować serwer Windows w zaledwie 3 sekundy.
Teraz Microsoft dołączył do rozmowy, mówiąc:
„Microsoft aktywnie śledzi aktywność cyberprzestępców za pomocą exploitów wykorzystujących lukę CVE-2020-1472 Netlogon EoP, nazwaną Zerologon. Zaobserwowaliśmy ataki, w których publiczne exploity zostały włączone do poradników atakujących”.
Firma Microsoft aktywnie śledzi aktywność aktora będącego zagrożeniem, wykorzystując exploity dla luki CVE-2020-1472 Netlogon EoP, nazwanej Zerologon. Zaobserwowaliśmy ataki, w których publiczne exploity zostały włączone do podręczników atakujących.
— Microsoft Threat Intelligence (@MsftSecIntel) 24 września 2020 r.
Kod exploita jest powszechnie dostępny już od prawie tygodnia, dzięki czemu spodziewany jest rozwój.
Luka w zabezpieczeniach wynika z luki w schemacie uwierzytelniania kryptograficznego używanym przez protokół Netlogon Remote Protocol, który można między innymi wykorzystać do aktualizacji haseł komputerów. Ta luka umożliwia atakującym podszywanie się pod dowolny komputer, w tym sam kontroler domeny, i wykonywanie zdalnych wywołań procedur w ich imieniu.
Tworząc token uwierzytelniania dla określonej funkcji Netlogon, hakerzy mogą wywołać funkcję ustawiania hasła komputera kontrolera domeny na znaną wartość. Następnie osoba atakująca może użyć tego nowego hasła, aby przejąć kontrolę nad kontrolerem domeny i wykraść dane uwierzytelniające administratora domeny.
CISA wydała Dyrektywa awaryjna 20-04, która nakazuje federalnym cywilnym agencjom wykonawczym zastosowanie aktualizacji zabezpieczeń z sierpnia 2020 r (CVE-2020-1472)) dla serwerów Windows firmy Microsoft do wszystkich kontrolerów domeny.
CISA wysłało łatki na serwery rządowe w poniedziałek, 21 września, ale również zdecydowanie wezwało swoich partnerów z władz stanowych i lokalnych, sektor prywatny oraz amerykańską opinię publiczną do jak najszybszego zastosowania tej aktualizacji zabezpieczeń.
Jeśli serwery nie mogą natychmiast zastosować aktualizacji, nakłaniają firmy do usunięcia odpowiednich kontrolerów domen ze swoich sieci i zdecydowanie z Internetu, z czym zgadzają się również inni badacze bezpieczeństwa.
Czuwa nad wszystkimi administratorami Microsoft AD! Jeśli jesteś na tyle szalony, aby uruchamiać swoje serwery z bezpośrednim połączeniem internetowym – jesteś w *poważnym* niebezpieczeństwie. Skrawek #Zerologon jak... w zeszłym miesiącu! https://t.co/sCC2hM0PAj
— Kauto Huopio (@kaautoh) 24 września 2020 r.
przez ZDNet