Zerologon: уязвимость в протоколе Netlogon позволяет захватить контроллер домена

В чем суть уязвимости Zerologon?
По большому счету, уязвимость CVE-2020-1472 заключается в несовершенстве схемы криптографической аутентификации Netlogon Remote Protocol. Этот протокол используется для аутентификации пользователей и машин в сетях, построенных на базе домена. В частности, Netlogon служит и для удаленного обновления паролей компьютеров. Уязвимость позволяет злоумышленнику выдать себя за компьютер-клиент и заменить пароль контроллера домена (сервера, контролирующего всю сеть, в том числе запускающего службы Active Directory). В результате атакующий может получить права администратора домена.
Кто уязвим?
Уязвимость CVE-2020-1472 актуальна для компаний, сети которых построены на базе контроллеров доменов под управлением операционных систем Windows.
В частности, злоумышленники могут захватить контроллер домена на базе:

всех версий Windows Server 2019, Windows Server 2016;
всех вариантов Windows Server версии 1909;
Windows Server версии 1903;
Windows Server версии 1809 (Datacenter, Standard);
Windows Server 2012 R2;
Windows Server 2012;
Windows Server 2008 R2 Service Pack 1.

Правда, для успешной атаки злоумышленникам сначала необходимо проникнуть в корпоративную сеть, но это не такая большая проблема — мы уже неоднократно слышали и об  инсайдерских атаках , и о  проникновениях через забытые сетевые розетки  в общедоступных помещениях.
К счастью, пока нет информации о том, что уязвимость Zerologon когда-либо использовали в реальных атаках. Однако после публикации исследования в блоге компании Secura вокруг этой проблемы поднялся ажиотаж, который, скорее всего, привлек и внимание злоумышленников. Несмотря на то что исследователи не опубликовали работающий  proof of concept , они не сомневаются, что злоумышленники смогут его создать, основываясь на патчах.
Как защититься от атак с использованием Zerologon?
Компания Microsoft  выпустила патчи , закрывающие эту уязвимость для всех затронутых систем. Они доступны с начала августа этого года, так что если вы еще не обновились, то лучше поспешить. Кроме того, компания рекомендует отслеживать все попытки логина по уязвимой версии протокола и выявлять устройства, которые не поддерживают новую версию. В идеале эксперты Microsoft считают необходимым перевести контроллер домена в режим, в котором все устройства должны использовать безопасный вариант протокола Netlogon.
Обновления не делают этого в принудительном порядке, потому что Netlogon Remote Protocol используется не только в Windows, — есть множество устройств на базе других ОС, которые также полагаются на этот протокол. И далеко не все из них поддерживают его защищенный вариант. Если сделать использование безопасной версии обязательным, эти устройства не смогут корректно работать.
Тем не менее 9 февраля 2021 года контроллеры доменов переведут в этот режим в обязательном порядке, так что администраторам придется как-то решать проблему со сторонними устройствами до этой даты — обновлять или вручную прописывать в исключение. Подробнее о том, что делает августовский патч и что изменится после февральского, можно найти в  материале Microsoft  наряду с подробными гайдлайнами.
Источник
Batafsil | Подробно | Read more... InfoCOM