Перейти к содержанию

Zerologon: уязвимость в протоколе Netlogon позволяет захватить контроллер домена

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

В августовский «вторник обновлений» компания Microsoft закрыла несколько уязвимостей, среди которых была и CVE-2020-1472. В принципе, никто и не сомневался, что дыра в протоколе Netlogon со степенью серьезности «критическая» (по шкале CVSS она получила рейтинг 10 из 10) будет достаточно опасной. Но на днях исследователь Том Тервурт (Tom Tervoort) из компании Secura (человек, обнаруживший эту уязвимость) опубликовал подробное исследование и объяснил, почему эта уязвимость, названная Zerologon, столь опасна и как злоумышленники могут воспользоваться ей, чтобы захватить контроллер домена.

В чем суть уязвимости Zerologon?

По большому счету, уязвимость CVE-2020-1472 заключается в несовершенстве схемы криптографической аутентификации Netlogon Remote Protocol. Этот протокол используется для аутентификации пользователей и машин в сетях, построенных на базе домена. В частности, Netlogon служит и для удаленного обновления паролей компьютеров. Уязвимость позволяет злоумышленнику выдать себя за компьютер-клиент и заменить пароль контроллера домена (сервера, контролирующего всю сеть, в том числе запускающего службы Active Directory). В результате атакующий может получить права администратора домена.

Кто уязвим?

Уязвимость CVE-2020-1472 актуальна для компаний, сети которых построены на базе контроллеров доменов под управлением операционных систем Windows.

В частности, злоумышленники могут захватить контроллер домена на базе:

  • всех версий Windows Server 2019, Windows Server 2016;
  • всех вариантов Windows Server версии 1909;
  • Windows Server версии 1903;
  • Windows Server версии 1809 (Datacenter, Standard);
  • Windows Server 2012 R2;
  • Windows Server 2012;
  • Windows Server 2008 R2 Service Pack 1.

Правда, для успешной атаки злоумышленникам сначала необходимо проникнуть в корпоративную сеть, но это не такая большая проблема — мы уже неоднократно слышали и об инсайдерских атаках, и о проникновениях через забытые сетевые розетки в общедоступных помещениях.

К счастью, пока нет информации о том, что уязвимость Zerologon когда-либо использовали в реальных атаках. Однако после публикации исследования в блоге компании Secura вокруг этой проблемы поднялся ажиотаж, который, скорее всего, привлек и внимание злоумышленников. Несмотря на то что исследователи не опубликовали работающий proof of concept, они не сомневаются, что злоумышленники смогут его создать, основываясь на патчах.

Как защититься от атак с использованием Zerologon?

Компания Microsoft выпустила патчи, закрывающие эту уязвимость для всех затронутых систем. Они доступны с начала августа этого года, так что если вы еще не обновились, то лучше поспешить. Кроме того, компания рекомендует отслеживать все попытки логина по уязвимой версии протокола и выявлять устройства, которые не поддерживают новую версию. В идеале эксперты Microsoft считают необходимым перевести контроллер домена в режим, в котором все устройства должны использовать безопасный вариант протокола Netlogon.

Обновления не делают этого в принудительном порядке, потому что Netlogon Remote Protocol используется не только в Windows, — есть множество устройств на базе других ОС, которые также полагаются на этот протокол. И далеко не все из них поддерживают его защищенный вариант. Если сделать использование безопасной версии обязательным, эти устройства не смогут корректно работать.

Тем не менее 9 февраля 2021 года контроллеры доменов переведут в этот режим в обязательном порядке, так что администраторам придется как-то решать проблему со сторонними устройствами до этой даты — обновлять или вручную прописывать в исключение. Подробнее о том, что делает августовский патч и что изменится после февральского, можно найти в материале Microsoft наряду с подробными гайдлайнами.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Уязвимости SLAP и FLOP в процессорах Apple | Блог Касперского
      От KL FC Bot
      Интересную атаку, точнее, сразу две атаки с использованием двух разных уязвимостей в процессорах Apple, недавно продемонстрировали исследователи из университетов Германии и США. Представьте себе, что кто-то присылает вам ссылку в чате. Вы открываете ее, и там на первый взгляд нет ничего подозрительного. Никто не просит ввести ваш пароль от рабочей почты, не предлагает скачать сомнительный файл. Возможно, на странице даже есть что-то полезное или интересное. Но пока вы это полезное просматриваете, скрытый код читает информацию из соседней вкладки браузера и таким образом узнает, где вы находитесь в данный момент, что вы в последний раз покупали в популярном интернет-магазине, или, например, похищает текст электронного письма.
      Описание атаки выглядит достаточно просто, но на самом деле речь идет о сложнейшей атаке, эксплуатирующей особенности так называемого спекулятивного выполнения инструкций процессором.
      Подождите, но мы это уже где-то слышали!
      Действительно, по своему принципу новые атаки напоминают различные варианты атак типа Spectre, эксплуатирующих другие, хотя отчасти похожие уязвимости в процессорах Intel и AMD. Мы писали об этих атаках раньше: в 2022 году, через 4 года после обнаружения самой первой уязвимости Spectre, мы пришли к выводу, что реального, простого и действенного метода эксплуатации этих уязвимостей нет. Использовать свежеобнаруженные проблемы в чипах Apple также непросто, но есть важное отличие: исследователи в новой работе сразу предлагают достаточно реалистичные варианты атак и доказывают их возможность. Чтобы разобраться, насколько опасны данные уязвимости, давайте коротко, и не вдаваясь в дебри сложного научного исследования, повторим основные принципы всех подобных атак.
       
      View the full article
    • DRAGO90956
      Мой ПК захватили вирусы во главе с Джоном.
      От DRAGO90956
      У меня полный ПК вирусов, при чем они не проявляли себя до одного момента(появления Джона) а после начался армагедон.
    • OlegGS
      Установка требуемых обновлений и закрытие уязвимостей
      От OlegGS
      Здравствуйте.
      Для обновления Windows в политике Агента администрирования настроено - "Запретить устанавливать обновления Центра обновления Windows"
      Здесь описано "Пользователи не могут устанавливать обновления Центра обновления Windows на своих устройства вручную. Все применимые обновления устанавливаются в соответствии с настройкой, заданной администратором."
       
      Задача "Установка требуемых обновлений и закрытие уязвимостей" в ключена с настройками в приложенном файле.
       
      Задача для всех устройств "висит" в статусе "Ожидает выполнения".
       
      Почему? Помогите разобраться, настроить.

    • KL FC Bot
      Как взламывают уязвимые роботы-пылесосы Ecovacs | Блог Касперского
      От KL FC Bot
      Представьте: встаете вы ночью попить водички, идете по неосвещенному коридору, и тут из темноты на вас кто-то начинает громко орать. Ситуация, согласитесь, крайне неприятная. И в нее вполне можно попасть по вине уязвимого робота-пылесоса — взломщики могут заставить самобеглую железку по их команде накричать на хозяина. Но это еще не все: хакеры могут управлять роботом удаленно и включать с него живые трансляции.
      И это совсем не теоретическая опасность: не так давно случаи, когда сетевые хулиганы использовали уязвимые роботы-пылесосы для того, чтобы портить жизнь людям, были зафиксированы, что называется, в дикой природе. Рассказываем обо всем по порядку.
      Как устроен робот-пылесос
      Начнем с того, что современный робот-пылесос — это полноценный компьютер на колесиках, работающий под управлением Linux. У него есть мощный многоядерный процессор ARM, солидный объем оперативной памяти, вместительный флеш-накопитель, Wi-Fi и Bluetooth.
      Любой современный робот-пылесос — это полноценный компьютер на колесиках. Источник
       
      View the full article
    • KL FC Bot
      CVE-2025-0411 — уязвимость в 7-Zip | Блог Касперского
      От KL FC Bot
      В популярном архиваторе 7-Zip была обнаружена уязвимость CVE-2025-0411, позволяющая злоумышленникам обходить защитный механизм Mark-of-the-Web. CVE-2025-0411 имеет рейтинг 7.0 по шкале CVSS. Уязвимость была оперативно исправлена, однако, поскольку в программе отсутствует механизм автоматического обновления, у некоторых пользователей могла остаться уязвимая версия. В связи с чем мы рекомендуем незамедлительно обновить архиватор.
      Что такое Mark-of-the-Web?
      Механизм Mark-of-the-Web (MOTW) заключается в проставлении специальной отметки в метаданных файлов, полученных из Интернета. При наличии такой отметки операционная система Windows считает такой файл потенциально опасным. Соответственно, если файл исполняемый, то при попытке его запуска пользователь увидит предупреждение о том, что он может причинить вред. Кроме того, ряд программ ограничивают функциональность файла (например, офисные приложения блокируют выполнение макросов). Подразумевается, что если из Интернета скачан архив, то при его распаковке все находившиеся внутри файлы также унаследуют отметку MOTW.
      Злоумышленники неоднократно были замечены за попытками избавиться от отметки MOTW для того, чтобы ввести пользователя в заблуждение. В частности, несколько лет назад мы писали о том, как это делает группировка BlueNoroff. По классификации матрицы MITRE ATT&CK обход механизма MOTW относится к подтехнике T1553.005: Subvert Trust Controls: Mark-of-the-Web Bypass.
       
      View the full article
×
×
  • Создать...