Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) дало федеральным агентствам время до полуночи вторника, чтобы исправить критическую уязвимость Windows Server под названием Zerologon (CVE-2020-1472), которая позволяет злоумышленникам мгновенно получить несанкционированный контроль над Active Directory. Сама Microsoft сообщила о закрытии уязвимости еще в августе.

Active Directory хранит данные, относящиеся к пользователям и компьютерам, которым разрешено использовать электронную почту, совместное использование файлов и другие конфиденциальные службы внутри крупных организаций. Zerologon опирается на слабый криптографический алгоритм в процессе аутентификации Netlogon. Атака производится через добавление нулей в определенные аутентификационные параметры Netlogon.

Zerologon получила рейтинг критической серьезности от самой Microsoft, а также максимум по 10-балльной шкале в соответствии с Общей системой оценки уязвимостей. Хакер может выдать себя за любой компьютер в сети в ходе аутентификации на контроллере домена, а также отключить защитные механизмы в процессе аутентификации Netlogon и изменить пароль компьютера в Active Directory контроллера домена.

We can't just ignore attackers when they don't cause damage. We can't just wipe computers with malware / issues without looking into the problems first. We can't just restore an image without checking which other assets are infected / how the malware got in.

— Zuk (@ihackbanme) September 14, 2020

Должностные лица выпустили чрезвычайную директиву, в которой предупредили о потенциально серьезных последствиях для организаций, игнорирующих исправления.

«CISA определило, что эта уязвимость представляет неприемлемый риск для федеральной гражданской исполнительной власти и требует немедленных и неотложных действий», — отмечается в документе.

Тем организациям, которые не успеют установить исправление Microsoft, предписано отключить уязвимый контроллер домена от сети. Агентства должны представить отчет, подтверждающий, что обновление было применено ко всем затронутым серверам.

Когда в прошлый вторник впервые появились подробности об уязвимости, многие исследователи предположили, что ее можно использовать только тогда, когда злоумышленники уже имеют доступ к уязвимой сети. Однако потом выяснилось, что хакеры могут воспользоваться уязвимостью через Интернет, не имея предварительно низкоуровневого доступа. Это стало возможным, поскольку существуют серверы, на которых работает Active Directory. Подобные сети, которые также имеют открытый блок сообщений сервера для совместного использования файлов или удаленный вызов процедур для внутрисетевого обмена данными, становятся подвержены атакам.

There's a good (but minor) barrier to entry as so far the exploits don't automate remotely querying the domain and Netbios name of DC.

One unpatched domain controller = every patched domain endpoint is vulnerable to RCE.

— Kevin Beaumont (@GossiTheDog) September 16, 2020

Кевин Бомонт, независимый исследователь, отметил, что барьер для атак сохраняется, так как эксплойты еще не автоматизируют удаленный запрос NetBIOS-имени домена. Однако он, как и другие исследователи, считает, что хакеры активно разрабатывают код атаки.

Более подробная информация об уязвимости от исследователей Secura BV содержится здесь. Они опубликовали на Github скрипт, который покажет, уязвим ли контроллер домена или нет.

В феврале ожидается релиз полноценного патча для Zerologon. Однако в Microsoft полагают, что могут возникнуть проблемы с аутентификацией на некоторых устройствах.