Zerologon — опасная атака, использующая критический баг в Windows Server

Zerologon — опасная атака, использующая критический баг в Windows Server
bc70dce61c908a15d9ec357ded3267bb.jpg

В сети появился эксплоит для уязвимости CVE-2020-1472, или Zerologon, которая представляет опасность для доменных компьютеров Microsoft AD и Samba и позволяет захватить контроллера домена. Microsoft совместно с компанией Secura уже обнаружили три варианта подходящей ей публичной эксплоиты SharpZeroLogon.exe.
Эксперты Angara Professional Assistance напоминают, что CVE-2020-1472 – это уязвимость системной службы Netlogon, приводящая к несанкционированному повышению привилегий. Она возникает, когда злоумышленник устанавливает уязвимое соединение безопасного канала Netlogon с контроллером домена с помощью протокола Netlogon Remote Protocol (MS-NRPC) и установки нулей в определенные параметры аутентификации. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить учетную запись администратора домена на устройстве и выполнить запуск приложений, поэтому уязвимость получила высший уровень критичности по шкале CVSS – 10 баллов.
Microsoft планирует устранить уязвимость в двухэтапном исправлении. Доступные сейчас обновления устраняют уязвимость, изменяя способ обработки сервисом безопасных каналов Netlogon. На файловых серверах Samba также рекомендуется произвести установку обновления.
Также доступны виртуальные исправления от многих наших партнеров на случай невозможности оперативной установки обновлений (Trend Micro, McAfee и др.). На Github компания Secura опубликовала утилиту для проверки подверженности контроллера домена этой проблеме.
Это не первая уязвимость Netlogon сервиса, позволяющая нарушителю, действующему удаленно, обойти существующие ограничения безопасности с помощью специально сформированного запроса. Уязвимости сервисов аутентификации в совокупности с частыми упрощениями паролей пользователями для их лучшего запоминания на фоне необходимости частой смены – связка, создающая проблемы для любой ИБ-службы. Одним из действенных архитектурных изменений подхода к решению этой проблемы является переход на системы Single Sign-On (SSO) с возможным использованием биометрии. Таким образом, уменьшается количество взаимодействий с пользователями и необходимость в запоминании паролей, внедряется системный контроль за процессом аутентификации в бизнес-приложениях предприятия.
Другим более радикальным подходом эксперты ИБ считают переход на протокол FIDO2. FIDO –   Fast IDentity Online / Быстрая Авторизация Онлайн – это технологический консорциум, основанный в 2013 году для нахождения решений, которые помогают пользователям работать с устройствами надежной авторизации, преимущественно в Web-среде. FIDO2 основан на двух стандартах аутентификации: WebAuth и CTAP. При аутентификации используется устройство пользователя (смартфон, смартчасы или аппаратный токен) и, как вариант, биометрическая аутентификация. Стандарт является открытым и гибким и поддерживает многие типы коммуникации: USB, Bluethoot, NFC и др. Популярность его в онлайн-сервисах стремительно растет. Так, он уже внедрен в Google учетных записях, браузерах Chrome и Mozilla Firefox, ОС Windows 10.
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group