• XSS.stack #1 – первый литературный журнал от юзеров форума

Microsoft предупреждает: обнаружены атаки на уязвимость Zerologon

Отслеживать
ve1

ve1

CPU register
Пользователь
Регистрация
02.05.2020
Сообщения
1 100
Реакции
176
Депозит
0.00
Инженеры компании Microsoft предупреждают, что хакеры начали эксплуатировать проблему Zerologon (CVE-2020-1472), исправленную в рамках августовского «вторника обновлений».

Screenshot_1.png


Многие специалисты называют Zerologon самой опасной ошибкой текущего года, а в минувшие выходные Министерство внутренней безопасности США дало федеральным агентствам страны три дня на срочное исправление бага, в противном случае пригрозив отключением от федеральных сетей.

В августе 2020 года эту проблему описывали как повышение привилегий в Netlogon, набравшую 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Однако тогда детали уязвимости не разглашались. Лишь в середине текущего месяца эксперты голландской компании Secura BV раскрыли подробности о Zerologon, и вскоре в сети появились первые PoC-эксплоиты.

В сущности, уязвимость Zerologon опирается на слабый криптографический алгоритм, используемый в процессе аутентификации Netlogon. Проблему назвали Zerologon, так как атака осуществляется через добавление нулей в определенные аутентификационные параметры Netlogon, как видно на иллюстрации выше. В результате баг позволяет злоумышленнику манипулировать аутентификацией,а именно:
  • выдать себя за любой компьютер в сети в ходе аутентификации на контроллере домена;
  • отключить защитные механизмы в процессе аутентификации Netlogon;
  • изменить пароль компьютера в Active Directory контроллера домена.
«Microsoft отслеживает активность злоумышленников, использующих эксплоиты для уязвимости CVE-2020-1472 в Netlogon EoP, получившей название Zerologon. Мы наблюдали атаки, в которых публично доступные эксплоиты были включены в стратегию злоумышленников», — пишут представители компании в Twitter.
Хотя Microsoft пока не обнародовала подробности об атаках, специалисты компании опубликовали хэши файлов эксплоитов, использованных в атаках.

Кроме того, в начале текущей недели стало известно, что Zerologon также представляет угрозу и для Samba при определенных обстоятельствах.
«Протокол netlogon содержит проблему, позволяющую обходить аутентификацию. Об этом сообщила Microsoft и исправила проблему, получившую идентификатор CVE-2020-1472. Поскольку ошибка обнаружена на уровне протокола, а Samba работает с его имплементацией, Samba также уязвима.
Однако, начиная с версии 4.8, выпущенной в марте 2018 года, Samba по умолчанию настаивает на безопасном входе в сеть, что является достаточным средством для противостояния известным эксплоитами. Значения по умолчанию эквивалентны наличию server schannel = yes в файле smb.conf.
Следовательно, версии 4.8 и выше не подвержены проблеме, если в них нет строк smb.conf server schannel = no или server schannel = auto. Samba версии 4.7 и ниже уязвимы, если в smb.conf не указано server schannel = yes.
Обратите внимание, что каждому контроллеру домена требуются правильные настройки smb.conf», — предупредили разработчики.
Источник: xakep.ru/2020/09/24/zerologon-attacks/
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх