Перейти к основному содержанию
 

Zerologon — критическая уязвимость контроллеров домена

Windows Server

Если вы давно не обновляли контроллер домена Windows, то самое время этим заняться. В августе компания Microsoft выпустила пакет обновлений, среди которых затесалось исправление уязвимости CVE-2020-1472 под названием Zerologon. Рейтинг уязвимости по шкале CVSS 10 из 10.

Уязвимость в протоколе Netlogon обнаружил эксперт по безопасности Том Тервурт (Tom Tervoort) из компании Secura. И сегодня появилось подробное описание:

https://www.secura.com/blog/zero-logon

Удаленный протокол Netlogon (другое название — MS-NRPC) — это интерфейс RPC, используемый только устройствами, подключенными к домену. MS-NRPC включает метод проверки подлинности и метод создания безопасного канала Netlogon. Эти обновления внедряют определенное поведение клиента Netlogon для применения безопасного удаленного вызова процедур (RPC) с помощью безопасного канала Netlogon между компьютерами участников и контроллерами домена (DC) Active Directory (AD).

Уязвимость позволяет злоумышленнику заменить пароль учётной записи контроллера домена и получить права администратора домена. Подробности писать не буду, админам достаточно знать, что эксплуатация уязвимости проста, эксплойт уже существует.

Существует скрипт, проверяющий контроллер домена на уязвимость:

https://github.com/SecuraBV/CVE-2020-1472

Уязвимы операционные системы

  • Windows Server 2019, all editions
  • Windows Server 2016
  • Windows Server, version 1909, all editions
  • Windows Server, version 1903, all editions
  • Windows Server, version 1809 (Datacenter, Standard)
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2 Service Pack 1

Теги