ΑρχικήsecurityΗ Microsoft διευκρινίζει τα βήματα του patch για το ελάττωμα Zerologon

Η Microsoft διευκρινίζει τα βήματα του patch για το ελάττωμα Zerologon

Η Microsoft διευκρίνισε τα βήματα που πρέπει να ακολουθήσουν οι πελάτες για να διασφαλίσουν ότι οι συσκευές τους προστατεύονται από τις συνεχιζόμενες επιθέσεις που εκμεταλλεύονται το Windows Server Zerologon (CVE-2020-1472).

Η εταιρεία αναθεώρησε το advisory αφού οι πελάτες μπερδεύτηκαν με την αρχική καθοδήγηση της Microsoft και δεν ήταν σίγουροι εάν η εφαρμογή της ενημερωμένης έκδοσης κώδικα ήταν αρκετή για την προστασία των ευπαθών συσκευών Windows Server.

Microsoft

Σε μια βήμα προς βήμα προσέγγιση, το ενημερωμένο advisory εξηγεί τώρα τις ακριβείς ενέργειες που πρέπει να κάνουν οι διαχειριστές για να βεβαιωθούν ότι τα περιβάλλοντά τους προστατεύονται και οι διακοπές λειτουργίας αποτρέπονται σε περίπτωση εισερχόμενης επίθεσης που έχει σχεδιαστεί για την εκμετάλλευση των server που διαφορετικά θα ήταν ευάλωτοι σε εκμεταλλεύσεις του Zerologon.

Η Microsoft παρουσίασε το ακόλουθο σχέδιο που πρέπει να ακολουθήσουν οι διαχειριστές των Windows κατά την εφαρμογή της ενημερωμένης έκδοσης ασφαλείας του Netlogon Elevation of Privilege Vulnerability (CVE-2020-1472) το οποίο κυκλοφόρησε στο πλαίσιο της ενημερωμένης έκδοσης του Αυγούστου 2020 την Τρίτη:

  • UPDATE των Domain Controllers σας με μια ενημέρωση που κυκλοφόρησε στις 11 Αυγούστου 2020 ή μεταγενέστερη.
  • ΒΡΕΙΤΕ ποιες συσκευές κάνουν ευάλωτες συνδέσεις παρακολουθώντας αρχεία καταγραφής συμβάντων.
  • ΕΝΤΟΠΙΣΤΕ μη συμβατές συσκευές που πραγματοποιούν επισφαλείς διασυνδέσεις.
  • ΕΝΕΡΓΟΠΟΙΗΣΤΕ το enforcement mode για την αντιμετώπιση του CVE-2020-1472 στο περιβάλλον σας.

Η ευπάθεια του Zerologon

Το CVE-2020-1472 είναι ένα κρίσιμο ελάττωμα ασφαλείας – με βαθμολογία 10/10 – που ονομάστηκε Zerologon από την εταιρεία κυβερνοασφάλειας Secura και, όταν γίνει εκμετάλλευση του, επιτρέπει στους εισβολείς να αυξήσουν τα προνόμια σε έναν διαχειριστή domain.

Αυτό βοηθά τους εισβολείς στο να πάρουν τον έλεγχο του domain, επιτρέποντάς τους να αλλάξουν τον κωδικό πρόσβασης κάθε χρήστη και να εκτελέσουν οποιαδήποτε εντολή θέλουν.

Καθώς η ενημέρωση ασφαλείας που εκδόθηκε από τη Microsoft τον Αύγουστο μπορεί επίσης να προκαλέσει σε ορισμένες από τις επηρεαζόμενες συσκευές να αντιμετωπίσουν ζητήματα ελέγχου ταυτότητας, η Microsoft κυκλοφορεί την επιδιόρθωση του Zerologon σε δύο στάδια.

Το πρώτο στάδιο κυκλοφόρησε στις 11 Αυγούστου ως ενημερωμένη έκδοση ασφαλείας που εμποδίζει τους Domain controllers της υπηρεσίας Active Directory των Windows να χρησιμοποιούν μη ασφαλή επικοινωνία RPC.

Καταγράφει επίσης τα αιτήματα ελέγχου ταυτότητας από συσκευές εκτός Windows που δεν χρησιμοποιούν ασφαλή κανάλια RPC για να δοθεί χρόνος στους διαχειριστές να διορθώσουν τις συσκευές ή να τις αντικαταστήσουν με αυτές που έχουν υποστήριξη για ασφαλές RPC.

Ξεκινώντας από τις 9 Φεβρουαρίου 2021, ως μέρος των ενημερώσεων Patch Tuesday του μήνα, η Microsoft θα κυκλοφορήσει μια άλλη ενημέρωση που θα ενεργοποιήσει τη λειτουργία της επιβολής απαιτώντας από όλες τις συσκευές του δικτύου να χρησιμοποιούν ασφαλές RPC, εκτός εάν επιτρέπεται ρητά από τους διαχειριστές.

Συνεχιζόμενες επιθέσεις Zerologon

Την περασμένη εβδομάδα, η Microsoft προειδοποίησε τους διαχειριστές να εφαρμόσουν επειγόντως τις ενημερώσεις ασφαλείας για το Zerologon αφού ανακάλυψαν ότι κάποιοι επιτιθέμενοι χρησιμοποιούν το CVE-2020-1472 για τις επιθέσεις τους.

Ο αναλυτής της Microsoft για το Threat Intelligence, Kevin Beaumont, επιβεβαίωσε ότι οι επιθέσεις ξεκίνησαν στις 26 Σεπτεμβρίου, με τους επιτιθέμενους να εκμεταλλεύονται επιτυχώς ένα ευάλωτο “server honeypot” του Active Directory χρησιμοποιώντας ένα Zerologon exploit μέσω του διαδικτύου.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS