Microsoft предупреждает, что Zerologon используется в дикой природе

Главная » безопасность

Значок времени чтения 2 минута. читать

Значок календаря Опубликовано

by Сурур Давидс 

Опубликован в

Поделиться этой статьей

Читатели помогают поддержать MSpoweruser. Мы можем получить комиссию, если вы совершите покупку по нашим ссылкам. Значок подсказки

Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее

Сервер Exchange

Мы сообщали несколько дней назад о Служба внутренней безопасности США приказывает администраторам правительственных сетей немедленно исправить их Windows Server 2008 и выше (включая Windows 10 Server) после Уязвимость Zerologon начали распространяться в дикой природе. Zerologon может скомпрометировать сервер Windows всего за 3 секунды.

Теперь Microsoft присоединилась к призыву, заявив:

«Microsoft активно отслеживает действия злоумышленников, используя эксплойты для уязвимости CVE-2020-1472 Netlogon EoP, получившей название Zerologon. Мы наблюдали атаки, в которых общедоступные эксплойты были включены в сборники действий злоумышленников».

Код эксплойта широко доступен уже почти неделю, что делает ожидаемой разработку.

Уязвимость проистекает из недостатка в схеме криптографической аутентификации, используемой протоколом Netlogon Remote Protocol, который, помимо прочего, может использоваться для обновления паролей компьютеров. Этот недостаток позволяет злоумышленникам выдавать себя за любой компьютер, включая сам контроллер домена, и выполнять удаленные вызовы процедур от их имени.

Создавая токен аутентификации для определенных функций входа в сеть, хакеры могут вызвать функцию для установки известного значения пароля компьютера контроллера домена. После этого злоумышленник может использовать этот новый пароль, чтобы получить контроль над контроллером домена и украсть учетные данные администратора домена.

CISA выпустила Директива о чрезвычайных ситуациях 20-04, который предписывает федеральным гражданским исполнительным органам власти применить обновление безопасности за август 2020 г. (CVE-2020-1472) для серверов Microsoft Windows на все контроллеры домена.

CISA направила правительственным серверам исправление к этому понедельнику, 21 сентября, но также настоятельно призвала своих партнеров в государственных и местных органах власти, частном секторе и американской общественности как можно скорее установить это обновление для системы безопасности.

Если серверы не могут сразу применить обновление, они призывают компании удалить соответствующие контроллеры домена из своих сетей и, безусловно, из Интернета, с чем согласны и другие исследователи безопасности.

с помощью ZDNet

Подробнее о темах: безопасность, сервер windows, зеролог

Сурур Давидс

Сурур Давидс Щит

Эксперт по смартфонам

Сурур Давидс — основатель WMPoweruser, который позже стал MSPoweruser.com. Он эксперт по смартфонам с более чем десятилетним опытом.