Zerologon – это последняя обнаруженная критическая уязвимость в Windows Server, затрагивающая все версии данной операционной системы, начиная с 2008 года и до последней доступной от Microsoft версии. Эта уязвимость имеет рейтинг серьезности 10.0, и уже есть примеры того, как можно легко использовать эту брешь безопасности.
Получите всю необходимую информацию о последних критических и серьезных уязвимостях, для которых уже доступны эксплойты, на , и обеспечьте свою безопасность и безопасность ваших пользователей с помощью решения, которое наилучшим образом адаптируется к вашим потребностям.
Как работает Zerologon ?
Протокол удаленного входа в сеть Netlogon Remote Protocol – это механизм, используемый на сервере Windows. Его роль заключается в проверке учетных записей сессий, регистрации, аутентификации и поиске контроллеров домена. Таким образом, он обеспечивает безопасный канал через шифрование между клиентом и сервером, действуя в качестве контроллера домена и позволяя пользователям подключаться к серверам.
Теперь, из-за некорректной реализации AES-CFB8 в протоколе Netlogon, злоумышленник может установить новый пароль без каких-либо других требований, взяв полный контроль над контроллером домена и получив учетные данные уровня администратора. Проблема кроется в первоначальном протоколе аутентификации, т.к. злоумышленнику необходимо только установить TCP-соединение с уязвимым контроллером домена. Чтобы воспользоваться этой брешью, достаточно просто находиться в локальной сети, поскольку учетные данные домена не требуются.
Кроме того, как мы уже упоминали, для использования этой уязвимости , проверяющий, обновлена ли система для предотвращения этой уязвимости. По шкале CVSSv3 данная уязвимость имеет максимальный рейтинг 10,0, так как все, что требуется, - это всего лишь «видимость» контроллера домена, и поэтому хакеру достаточно просто находиться в сети.
Сокращение окна возможностей
Корпорация Microsoft опубликовала патч для устранения уязвимости Zerologon вместе с , и этот патч администраторам следует обязательно применить. Как и в случае со всеми уязвимостями, крайне важно, чтобы ИТ-специалисты или менеджеры по информационной безопасности внедряли патчи и обновления как можно скорее, чтобы сократить «окно возможностей», используемое кибер-атаками, то есть время до момента применения обновления для предотвращения использования уязвимости. Корпорация Майкрософт также опубликовала .
Организации просто не могут позволить себе ослабить бдительность в отношении этих угроз. На самом деле они должны укреплять защиту от тех уязвимостей, которые эксплуатировались в последнее время. Одним из таких примеров является уязвимость типа "отказ в обслуживании" (DoS), возникшая шесть лет назад и затронувшая WordPress и Drupal, которая обсуждалась в последнем как одна из десяти лучших сетевых атак во втором квартале этого года.
Знание о проблемах, с которыми вы сталкиваетесь, полезно, хотя и недостаточно. Чтобы убедиться, что ваша позиция в области информационной безопасности соответствует поставленной цели, вы должны быть уверены, что системы обновлены и что соответствующие патчи были установлены. Чтобы помочь расставить приоритеты, управлять и внедрять патчи и обновления, компания Panda Security предоставляет решение . Этот дополнительный модуль к решению , который не требует дополнительных развертываний со стороны клиентов, управляет не только патчами и обновлениями операционной системы, но и сторонних приложений.
Кроме того, ключевая информация по этим проблемам безопасности доступна на , созданном компанией Panda Security.
Оригинал статьи:
Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
