Инженеры компании Microsoft  предупреждают, что хакеры начали эксплуатировать проблему Zerologon (CVE-2020-1472), исправленную в рамках августовского «вторника обновлений».

Многие специалисты называют Zerologon самой опасной ошибкой текущего года, а в минувшие выходные Министерство внутренней безопасности США дало федеральным агентствам страны три дня  на срочное исправление бага, в противном случае пригрозив отключением от федеральных сетей.

В августе 2020 года эту проблему описывали как повышение привилегий в Netlogon, набравшую 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Однако тогда детали уязвимости не разглашались. Лишь в середине текущего  месяца эксперты голландской компании Secura BV раскрыли подробности о Zerologon, и вскоре в сети появились первые PoC-эксплоиты.

В сущности, уязвимость Zerologon опирается на слабый криптографический алгоритм, используемый в процессе аутентификации Netlogon. Проблему назвали Zerologon, так как атака осуществляется через добавление нулей в определенные аутентификационные параметры Netlogon, как видно на иллюстрации выше. В результате баг позволяет злоумышленнику манипулировать аутентификацией,а именно:

  • выдать себя за любой компьютер в сети в ходе аутентификации на контроллере домена;
  • отключить защитные механизмы в процессе аутентификации Netlogon;
  • изменить пароль компьютера в Active Directory контроллера домена.

«Microsoft отслеживает активность злоумышленников, использующих эксплоиты для  уязвимости CVE-2020-1472 в Netlogon EoP, получившей название Zerologon. Мы наблюдали атаки, в которых публично доступные эксплоиты были включены в стратегию злоумышленников», — пишут представители компании в Twitter.

Хотя Microsoft пока не обнародовала подробности об атаках, специалисты компании опубликовали хэши файлов  эксплоитов, использованных в атаках.

Кроме того, в начале текущей недели стало известно, что Zerologon также представляет угрозу и для Samba при определенных обстоятельствах.

«Протокол netlogon содержит проблему, позволяющую обходить аутентификацию. Об этом сообщила Microsoft и исправила проблему, получившую идентификатор CVE-2020-1472. Поскольку ошибка обнаружена на уровне протокола, а Samba работает с его имплементацией, Samba также уязвима.

Однако, начиная с версии 4.8, выпущенной в марте 2018 года, Samba по умолчанию ­настаивает на безопасном входе в сеть, что является достаточным средством для противостояния известным эксплоитами. Значения по умолчанию эквивалентны наличию server schannel = yes в файле smb.conf.

Следовательно, версии 4.8 и выше не подвержены проблеме, если в них нет строк smb.conf server schannel = no или server schannel = auto. Samba версии 4.7 и ниже уязвимы, если в smb.conf не указано server schannel = yes.

Обратите внимание, что каждому контроллеру домена требуются правильные настройки smb.conf», — предупредили разработчики.

Оставить мнение