Η Microsoft διευκρίνισε τα βήματα που πρέπει να ακολουθήσουν οι πελάτες της, για να διασφαλιστεί ότι οι συσκευές τους προστατεύονται από τις συνεχιζόμενες επιθέσεις που χρησιμοποιούν exploits του Windows Server Zerologon (CVE-2020-1472).
Η εταιρεία επικαιροποίησε τη δημοσίευση που είχε εκδώσει, όταν οι πελάτες της την βρήκαν αρκετά δύσκολη και δεν ήταν σίγουροι εάν η εφαρμογή της ενημερωμένης έκδοσης ήταν αρκετή για να προστατεύσει τις ευάλωτες συσκευές με Windows Server από τις επιθέσεις.
Σε μια προσέγγιση βήμα προς βήμα, η ενημερωμένη δημοσίευση εξηγεί τις ακριβείς ενέργειες που θα πρέπει να κάνουν οι διαχειριστές για να βεβαιωθούν ότι τα μηχανήματά τους προστατεύονται σε περίπτωση εισερχόμενης επίθεσης που έχει σχεδιαστεί για την εκμετάλλευση του Zerologon.
Η Microsoft αναφέρει το παρακάτω σχέδιο που πρέπει να ακολουθήσουν οι διαχειριστές των Windows κατά την εφαρμογή του “CVE-2020-1472 | Η ενημερωμένη έκδοση ασφαλείας του Netlogon Elevation of Privilege Vulnerability που κυκλοφόρησε ως μέρος του Patch Tuesday τον Αύγουστο του 2020:
- UPDATE your Domain Controllers with an update released August 11, 2020 or later.
- FIND which devices are making vulnerable connections by monitoring event logs.
- ADDRESS non-compliant devices making vulnerable connections.
- ENABLE enforcement mode to address CVE-2020-1472 in your environment.
Η ευπάθεια Zerologon
Το CVE-2020-1472 είναι ένα κρίσιμο κενό ασφαλείας με βαθμολογία 10/10. Ονομάστηκε Zerologon από την εταιρεία ασφάλειας Secura και όταν εκμεταλλευτεί, επιτρέπει στους εισβολείς να αυξήσουν τα προνόμια σε ένα domain τού διαχειριστή.
Αυτό καθιστά κάνει πολύ εύκολο να πάρουν τον έλεγχο του domain, αφού μπορούν να αλλάξουν τον κωδικό πρόσβασης κάθε χρήστη και να τρέξουν ότι εντολή θέλουν.
Η ενημέρωση ασφαλείας που εκδόθηκε από τη Microsoft τον Αύγουστο μπορεί να προκαλέσει θέματα ελέγχου ταυτότητας σε ορισμένες από τις επηρεαζόμενες συσκευές και έτσι η εταιρεία κυκλοφόρησε το patch του Zerologon σε δύο στάδια.
Το πρώτο κυκλοφόρησε στις 11 Αυγούστου ως ενημερωμένη έκδοση ασφαλείας που θα εμποδίζει τους ελεγκτές domain της υπηρεσίας Active Directory των Windows, να χρησιμοποιούν μη ασφαλή επικοινωνία RPC.
Καταγράφει επίσης τα αιτήματα ελέγχου ταυτότητας από τις συσκευές εκτός των Windows που δεν χρησιμοποιούν ασφαλή κανάλια RPC για να δοθεί χρόνος στους διαχειριστές να διορθώσουν τα σφάλματα.
Από τις 9 Φεβρουαρίου 2021, στο πλαίσιο των ενημερώσεων του Patch Tuesday, η Microsoft θα κυκλοφορήσει μια άλλη ενημέρωση που θα επιτρέπει μια λειτουργία επιβολής που θα απαιτεί από όλες τις συσκευές δικτύου να χρησιμοποιούν ασφαλές RPC, εκτός κι αν επιτρέπεται ρητά από τους διαχειριστές.
We have updated the KB article for CVE-2020-1472 to provide clarity on customers actions to ensure they are protected. See details here: https://t.co/l4MwY9DFvt
— Security Response (@msftsecresponse) September 28, 2020
Συνεχιζόμενες επιθέσεις Zerologon
Την περασμένη εβδομάδα, η Microsoft προειδοποίησε τους διαχειριστές να εφαρμόσουν επειγόντως τις ενημερώσεις ασφαλείας για το Zerologon, αφού ανακάλυψε ότι χρησιμοποιούνται κατά τη διάρκεια επιθέσεων.
Ο αναλυτής της Microsoft Threat Intelligence, Kevin Beaumont, επιβεβαίωσε ότι οι επιθέσεις ξεκίνησαν στις 26 Σεπτεμβρίου, με τους επιτιθέμενους να εκμεταλλεύονται επιτυχώς ένα ευάλωτο honeypot σε διακομιστή Active Directory, χρησιμοποιώντας ένα Zerologon exploit.
Χθες, οι ερευνητές ασφαλείας της Cisco Talos προειδοποίησαν επίσης για “μια απότομη αύξηση των προσπαθειών εκμετάλλευσης της ευπάθειας της Microsoft CVE-2020-1472”.