Zerologon – poważne zagrożenie dla firm

Specjaliści od bezpieczeństwa ostrzegają przed luką Zerologon, która pojawiła się w protokole Netlogon. To  poważne zagrożenia dla firm, których sieci oparte są na kontrolerach domen z systemem Windows.

 Zerologon

W sierpniu Microsoft poinformował o zamknięciu kilku luk w swoich systemach, w tym CVE-2020-1472. Wymieniona luka została uznana za krytyczną i uzyskała maksymalną notę 10/10 w skali CVSS (Common Vulnerability Scoring System). Wykorzystując tę podatność napastnik może uzyskać dostęp do kontrolerów domeny Active Directory, a następnie uzyskać prawa jej administratora. Luka, która zyskała nazwę Zerologon, dotyczy wszystkich systemów serwerowych Microsoftu, począwszy od Windows 2008 Server. Badacze firmy Secura opracowali i opublikowali exploit proof-of-concept dla CVE-2020-1472.  Złośliwy program umożliwia napastnikom uzyskanie kontroli nad usługą Active Directory przy użyciu protokołu Netlogon Remote  Procedure Call (MS-NRPC), który służy do autoryzacji użytkowników oraz maszyn w sieciach opartych na domenach, jak również  do zdalnego aktualizowania haseł na komputerze.

Błyskawiczny i niebezpieczny atak

Exploit jest szczególnie niebezpieczny, bowiem otwiera przed napastnikiem niemal nieograniczone możliwości w zakresie penetracji sieci, takie jak np. dodawanie nowych komputerów do sieci czy zainfekowanie urządzeń końcowych złośliwym oprogramowaniem. Sam atak jest stosunkowo prosty do przeprowadzenia i może trwać kilka sekund. Warto jednak podkreślić, iż istnieje  poważne ograniczenie – napastnik nie może przejmować serwerów Windows znajdujących się poza siecią. Microsoft zapowiedział, że poza pierwszą aktualizacją, która miała miejsce w sierpniu, wprowadzi bardziej kompletną łatkę w lutym 2021 roku.

Specjaliści od bezpieczeństwa Bitdefender przyznają, że nie trzeba czekać kilku miesięcy, bowiem posiadają rozwiązania, które już dziś potrafią powstrzymać ataki wykorzystujące lukę Zerologon. Jednym z nich jest warstwa bezpieczeństwa  Network Attack Defense, która wykrywa i zapobiega atakom wykorzystującym luki w sieci.  Dodatkowe zabezpieczenie stanowi silnik Hyper Detect wykorzystujący modele uczenia maszynowego, silną heurystykę i wykrywanie podejrzanych. Z kolei „Inspektor Procesów” działa w trybie zerowego zaufania, stale monitorując wszystkie procesy uruchomione w systemie operacyjnym.

Dużą rolę w procesie wykrywania exploitów odgrywa też moduł scentralizowanej analizy ryzyka punktów końcowych, który zapewnia kompleksową identyfikację i usunięcie wielu zagrożeń sieciowych na poziomie punktów końcowych. Wskaźniki ryzyka są podzielone na trzy główne kategorie: błędne konfiguracje, wrażliwe aplikacje, działania człowieka.

źródło: Bitdefender

Dodaj komentarz

%d bloggers like this: