Перейти к содержанию

Как защититься от Zerologon и аналогов | Блог Касперского


Рекомендуемые сообщения

Американское агентство по кибербезопасности и безопасности инфраструктуры (DHS CISA) крайне редко выдает экстренные предписания ликвидировать конкретные уязвимости. Однако в сентябре прошлого года оно издало предписание правительственным учреждениям, использующим в своих сетях Microsoft Windows Active Directory, немедленно установить патч на все контроллеры домена. Речь шла об уязвимости CVE-2020-1472 в протоколе Netlogon, получившей название Zerologon (мы уже писали о ней).

Десять из десяти по шкале опасности

Уязвимость Zerologon связана с использованием ненадежного криптографического алгоритма в механизме аутентификации Netlogon. Эта уязвимость позволяет злоумышленнику, которому удалось подключить свой компьютер к корпоративной сети или как-то заразить одну из машин, атаковать контроллер домена и в итоге захватить контроль над ним.

Уязвимость получила максимальную оценку в 10 баллов по шкале CVSSv3. Microsoft выпустила патч еще в августе, но всеобщее внимание к Zerologon привлекло подробное исследование, опубликованное кибербезопасниками из голландской компании Secura, с подробными объяснениями того, как Zerologon может быть проэксплуатирован. В считанные часы после выхода этого документа различные исследователи начали публиковать свои доказательства концепций (PoC). Через несколько дней на сайте Github уже можно было найти как минимум четыре примера открытого исходного кода, который демонстрировал, как эту уязвимость можно применить на практике.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Endless
      Здравствуйте, хотел установить Kaspersky Internet Security, но выдает ошибку 1303. 
    • От KL FC Bot
      Системным программам — тому, что установлено на смартфоне по умолчанию и что обычно вообще нельзя удалить, — уделяется не так уж много внимания. Между тем, если с другими приложениями и сервисами у нас есть хоть какой-то выбор, то здесь его обычно попросту нет, возможности слежки намертво вшиты в само устройство.
      Именно этому посвящено свежее исследование ученых из эдинбургского университета в Великобритании и дублинского Trinity College в Ирландии. Они взяли смартфоны четырех известных производителей и оценили, как много те передают информации. А чтобы было с чем сравнивать — сравнили с популярными альтернативными «прошивками» для телефона, LineageOS и /e/OS. И вот что у них получилось.
      Как исследовали телефоны
      Для чистоты эксперимента авторы работы задали достаточно строгий сценарий работы четырех смартфонов, который, скорее всего, никогда не будет использован в реальных условиях. Предполагалось, что смартфон используется только для звонков и SMS. Исследователи не добавили ни одного приложения сверх того, что было установлено производителем.
      Более того, на все вопросы типа «желаете ли вы улучшить качество обслуживания, передавая данные», которые обычно задают при первом включении аппарата, воображаемый пользователь отвечал отрицательно. Не активировались и необязательные сервисы от производителя, такие как облачное хранение данных или система поиска утерянного устройства. В общем, во время исследования смартфоны пребывали в настолько «приватном» и первозданном состоянии, насколько это вообще возможно.
      Базовая технология «слежки за шпионами» во всех подобных исследованиях одинаковая. Смартфон подключается к мини-компьютеру Raspberry Pi, который работает как точка доступа сети Wi-Fi. На Raspberry Pi устанавливается программное обеспечение, которое перехватывает и расшифровывает поток данных с телефона. Затем данные снова шифруются и доставляются получателю — разработчику телефона, приложения или операционной системы. По сути, авторы работы использовали в мирных целях атаку типа «человек посередине» (Man-In-The-Middle).
       
      View the full article
    • От KL FC Bot
      Иногда соцсети становятся не столько в радость, сколько в тягость. Бесконтрольное зависание в них может перегружать нервную систему, рассеивать внимание и отвлекать от важных дел. Поэтому полезно время от времени — хотя бы ради профилактики — устраивать себе цифровой детокс. Сегодня расскажем, как это сделать за восемь простых шагов.
      Шаг 1. Проредите ленту
      Бывает, что бывший одноклассник или сокурсник вдруг увлекся санскритом и по 10 раз в день публикует высказывания древних мудрецов на деванагари. Или группа про ретроавтомобили, на которую вы давно подписаны, сменила владельца и стала постить одну рекламу. Не держитесь за старое, смело отписывайтесь!
      Шаг 2. Если не хочется удалять, заглушите
      Не хотите отписываться от группы друга или удалять профиль магазина, который сохранили «на потом»? Попробуйте «заглушить» их. Во многих соцсетях можно скрыть обновления от аккаунта, оставив его в подписках. За отношения можно не переживать: «замьюченный» друг даже не узнает о вашем решении.
       
      View the full article
    • От KL FC Bot
      Пять лет назад, в октябре 2016 года, наши решения начали сталкиваться с трояном под названием Trickbot (также известен как TrickLoader или Trickster). Тогда он встречался в основном у домашних пользователей и применялся для кражи учетных данных от сервисов онлайн-банкинга. Однако за последние годы создатели этого зловреда развили достаточно бурную деятельность и превратили банковский троян в многофункциональный модульный инструмент.
      Более того, теперь Trickbot пользуется популярностью у нескольких преступных группировок в качестве системы доставки сторонних зловредов в инфраструктуру компаний. Недавно в новостях появилась информация о том, что авторы трояна Trickbot активно сотрудничают с рядом новых партнеров, в результате чего зловред используют для доставки в корпоративные сети всевозможных дополнительных угроз, таких, например, как шифровальщик Conti.
      Между тем такое перепрофилирование может представлять дополнительную опасность для сотрудников центров мониторинга киберугроз. Некоторые защитные решения до сих пор распознают Trickbot по «первой специальности», как банковский троян. Так что при его обнаружении безопасники могут не обратить на него особого внимания, сочтя просто случайно попавшей в корпоративную сеть «бытовой» угрозой. В то время как на самом деле его присутствие в сети может быть признаком более серьезной кибератаки — попыткой внедрить шифровальщика или даже частью целевой кибершпионской операции.
      Нашим экспертам удалось скачать с одного из командных серверов трояна доступные модули и тщательно проанализировать их.
       
      View the full article
    • От KL FC Bot
      Нередко сотрудники корпоративных центров по мониторингу киберугроз и ИБ-отделов обращаются за экспертной помощью к специалистам «Лаборатории Касперского». Мы проанализировали наиболее частые причины таких запросов и создали специализированный сервис, который помогает заказчику задать вопрос непосредственно эксперту в нужной ему области.
      Почему может потребоваться помощь эксперта
      С каждым годом преступники находят все новые и новые способы достижения своих целей. Постоянно обнаруживаются новые уязвимости в программном обеспечении (от офисных приложений до серверов, VPN-шлюзов и самих ОС), которые тут же берутся на вооружение. Каждый день обнаруживаются сотни тысяч новых образцов вредоносного ПО, а самые разные организации, включая крупные корпорации и даже государственные структуры, становятся жертвами атак вымогателей. Столь же регулярно обнаруживаются и новые кампании сложных угроз и APT.
      В этих условиях важнейшую роль играет Threat Intelligence — только обладая своевременной информацией о методах злоумышленников, их тактиках и инструментах, можно выстроить адекватную систему защиты для организации. А в случае инцидентов — провести эффективное расследование, «выкинуть» из сети злоумышленников и локализовать первичный вектор атаки, предотвратив ее повторение.
      Но применение Threat Intelligence в конкретной организации требует наличия квалифицированного специалиста, который сможет грамотно использовать полученную от TI-провайдера информацию на практике. Это делает такого специалиста самым ценным активом при расследовании угроз. Однако наем, обучение и содержание аналитиков по кибербезопасности — это чрезвычайно дорого, особенно в условиях сегодняшнего дефицита на рынке труда. И позволить себе иметь команду экспертов должного уровня может далеко не каждая организация.
       
      View the full article
×
×
  • Создать...