Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Útočníci aktívne zneužívajú zraniteľnosť operačného systému Windows nazvanú „Zerologon“

28.09.2020
Spoločnosť Microsoft v Auguste 2020 vydala bezpečnostnú aktualizáciu pre 120 zraniteľností operačného systému Windows Server, z ktorých boli dve zero-day. V rámci tejto aktualizácie Microsoft upozorňuje na aktívne zneužívanie kritickej zraniteľnosti nazvanej „Zerologon“.

 

Dôsledky
Úplná kompromitácia doménovej siete

Opis činnosti
CVE-2020-1472

Spoločnosť Microsoft apeluje na administrátorov aby aktualizovali servery využívajúce platformu Windows Server. V auguste spoločnosť Microsoft vydala vo svojom pravidelnom opravnom balíku bezpečnostnú aktualizáciu proti zraniteľnosti nazvanej „Zerologon“ (CVSS 10), ktorá je aktívne zneužívaná útočníkmi.

Zraniteľnosť Zerologon sa nachádza v Netlogon Remote Protokole (MS-NRPC). Rozhranie volania vzdialeného protokolu Netlogon Remote Protocol (RPC) sa používa predovšetkým na udržiavanie vzťahu medzi strojom a jeho doménou, vzťahov medzi doménovými radičmi a doménami, autentifikáciu od členov domény k radiču domény a medzi radičmi domén. Spracováva požiadavky na zmeny v doménovom účte (zmena hesla, zablokovanie účtu) a slúži aj ako vlastný poskytovateľ zabezpečenia pre bezpečný kanál k rozhraniu RPC.

Zraniteľnosť Zerologon vie útočník zneužiť na pripojenie sa k radiču domény cez zabezpečený kanál bez autentifikácie. Následne môže vykonať eskaláciu prístupových práv až na doménového správcu, pretože softvér nesleduje a nekontroluje oprávnenia pripojeného používateľa.

Spoločnosť Microsoft sa touto chybou zaoberá postupne v dvoch bezpečnostných aktualizáciách. Momentálne prvé aktualizácie dostupné v bezpečnostnej záplate z Augusta 2020 riešia túto chybu zabezpečenia úpravou spôsobu, akým proces Netlogon systému Windows Server, ktorý overuje používateľov a ďalšie služby v rámci domény, overuje používateľov pri pripojení cez zabezpečený kanál k doménovému radiču.

Druhú vlnu bezpečnostných aktualizácií sa chystá spoločnosť Microsoft vydať v 1. kvartáli roku 2021.

Zraniteľné systémy

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik informácii Vzdialené vykonávanie kódu

Odporúčania

  • Inštalácia najnovších bezpečnostných aktualizácií opravujúcich túto zraniteľnosť ( August 2020)
  • Vždy udržiavať systémy aktuálne

Odkazy
https://www.bleepingcomputer.com/news/microsoft/microsoft-hackers-using-zerologon-exploits-in-attacks-patch-now/
https://nvd.nist.gov/vuln/detail/CVE-2020-1472
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472



<< zoznam oznámení