- Porównanie
- Ćwiczenia
- Microsoft ostrzega, że hakerzy nadal nadużywają błędu systemu Windows Zerologon
Według nowego wpisu na blogu firmy Microsoft, luka w zabezpieczeniach Zerologon obecna w protokole Netlogon Remote Protocol jest nadal aktywnie wykorzystywana przez atakujących atakujących systemy bez poprawek. Podczas gdy gigant oprogramowania wcześniej załatał lukę w serii aktualizacji zabezpieczeń w sierpniu, wiele firm musi jeszcze załatać swoje urządzenia z systemem Windows Server, narażając je na ataki polegające na podniesieniu uprawnień. W systemie bez poprawek osoba atakująca może wykorzystać Zerologon do podszywania się pod konto kontrolera domeny, co może zostać wykorzystane do kradzieży poświadczeń domeny, a nawet przejęcia kontroli nad domeną. W poście na blogu wiceprezes ds. inżynierii Microsoft Security Response Center (MSRC), Aanchal Gupta, wezwał użytkowników do zastosowania sierpniowej aktualizacji zabezpieczeń w celu ochrony swoich systemów, mówiąc: Wdrożenie aktualizacji zabezpieczeń 11 sierpnia 2020 r. lub później na każdym kontrolerze domeny jest najbardziej krytyczne pierwszy krok w usuwaniu tej luki. Po pełnym wdrożeniu kontroler domeny Active Directory i zaufane konta będą chronione wraz z kontami komputerów należącymi do domeny Windows. Gorąco zachęcamy każdego, kto nie zastosował aktualizacji, do wykonania tego kroku teraz. Klienci powinni zastosować aktualizację i postępować zgodnie z oryginalnymi instrukcjami przedstawionymi w KB4557222, aby zapewnić sobie pełną ochronę przed tą luką.
Ochrona urządzeń przed Zerologonem
Ponieważ na niektórych urządzeniach, na które ma wpływ Zerologon, wystąpiły problemy z uwierzytelnianiem, firma Microsoft wdraża dwuetapową naprawę błędu. Jednocześnie firma zaktualizowała często zadawane pytania w swojej oryginalnej dokumentacji, aby były bardziej przejrzyste, ponieważ niektórzy użytkownicy uznali je za mylące. Teraz Microsoft prosi użytkowników o zaktualizowanie ich kontrolerów domeny za pomocą łatki wydanej w sierpniu, sprawdzenie, które urządzenia nawiązują luki w połączeniach poprzez monitorowanie dzienników zdarzeń, zaadresowanie niezgodnych urządzeń nawiązujących luki w połączeniach i wreszcie o „aktywację trybu aplikacji do przetwarzania” CVE-2020-1472. w Twoim otoczeniu. Organizacje korzystające z usługi Microsoft Defender for Identity (dawniej Azure Advanced Threat Protection) lub Microsoft 365 Defender (dawniej Microsoft Threat Protection) będą w stanie wykryć każdego atakującego próbującego wykorzystać Zerologon przeciwko ich kontrolerom domeny. Firma Microsoft skontaktowała się również z amerykańską Agencją ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), która wydała własne ostrzeżenie przypominające agencjom stanowym i lokalnym o podjęciu niezbędnych kroków w celu zaradzenia tej luce. Jeśli Twoja organizacja korzysta z urządzenia Windows Server, nadszedł czas, aby wprowadzić poprawki, aby uniknąć potencjalnego ataku Zerologon. Przez BleepingComputer