Zerologon – это последняя обнаруженная критическая уязвимость в Windows Server, затрагивающая все версии данной операционной системы, начиная с 2008 года и до последней доступной от Microsoft версии. Эта уязвимость имеет рейтинг серьезности 10.0, и уже есть примеры того, как можно легко использовать эту брешь безопасности.
Получите всю необходимую информацию о последних критических и серьезных уязвимостях, для которых уже доступны эксплойты, на веб-сайте Panda Security, и обеспечьте свою безопасность и безопасность ваших пользователей с помощью решения, которое наилучшим образом адаптируется к вашим потребностям.
Как работает Zerologon?
Протокол удаленного входа в сеть Netlogon Remote Protocol – это механизм, используемый архитектурой проверки подлинности клиента на сервере Windows. Его роль заключается в проверке учетных записей сессий, регистрации, аутентификации и поиске контроллеров домена. Таким образом, он обеспечивает безопасный канал через шифрование между клиентом и сервером, действуя в качестве контроллера домена и позволяя пользователям подключаться к серверам.
Теперь, из-за некорректной реализации AES-CFB8 в протоколе Netlogon, злоумышленник может установить новый пароль без каких-либо других требований, взяв полный контроль над контроллером домена и получив учетные данные уровня администратора. Проблема кроется в первоначальном протоколе аутентификации, т.к. злоумышленнику необходимо только установить TCP-соединение с уязвимым контроллером домена. Чтобы воспользоваться этой брешью, достаточно просто находиться в локальной сети, поскольку учетные данные домена не требуются.
Кроме того, как мы уже упоминали, для использования этой уязвимости существует PoC, проверяющий, обновлена ли система для предотвращения этой уязвимости. По шкале CVSSv3 данная уязвимость имеет максимальный рейтинг 10,0, так как все, что требуется, - это всего лишь «видимость» контроллера домена, и поэтому хакеру достаточно просто находиться в сети.
Сокращение окна возможностей
Корпорация Microsoft опубликовала патч для устранения уязвимости Zerologon вместе с серией изменений в канале безопасного подключения Netlogon, и этот патч администраторам следует обязательно применить. Как и в случае со всеми уязвимостями, крайне важно, чтобы ИТ-специалисты или менеджеры по информационной безопасности внедряли патчи и обновления как можно скорее, чтобы сократить «окно возможностей», используемое кибер-атаками, то есть время до момента применения обновления для предотвращения использования уязвимости. Корпорация Майкрософт также опубликовала инструкцию, которая поможет системным администраторам обновлять и правильно настраивать системы.
Организации просто не могут позволить себе ослабить бдительность в отношении этих угроз. На самом деле они должны укреплять защиту от тех уязвимостей, которые эксплуатировались в последнее время. Одним из таких примеров является уязвимость типа "отказ в обслуживании" (DoS), возникшая шесть лет назад и затронувшая WordPress и Drupal, которая обсуждалась в последнем отчете WatchGuard по информационной безопасности как одна из десяти лучших сетевых атак во втором квартале этого года.
Знание о проблемах, с которыми вы сталкиваетесь, полезно, хотя и недостаточно. Чтобы убедиться, что ваша позиция в области информационной безопасности соответствует поставленной цели, вы должны быть уверены, что системы обновлены и что соответствующие патчи были установлены. Чтобы помочь расставить приоритеты, управлять и внедрять патчи и обновления, компания Panda Security предоставляет решение Panda Patch Management. Этот дополнительный модуль к решению Panda Adaptive Defense, который не требует дополнительных развертываний со стороны клиентов, управляет не только патчами и обновлениями операционной системы, но и сторонних приложений.
Кроме того, ключевая информация по этим проблемам безопасности доступна на портале критических уязвимостей, созданном компанией Panda Security.
