Если вы давно не обновляли контроллер домена Windows, то самое время этим заняться. В августе компания Microsoft выпустила пакет обновлений, среди которых затесалось исправление уязвимости CVE-2020-1472 под названием Zerologon. Рейтинг уязвимости по шкале CVSS 10 из 10.
Уязвимость в протоколе Netlogon обнаружил эксперт по безопасности Том Тервурт (Tom Tervoort) из компании Secura. И сегодня появилось подробное описание:
https://www.secura.com/blog/zero-logon
Удаленный протокол Netlogon (другое название — MS-NRPC) — это интерфейс RPC, используемый только устройствами, подключенными к домену. MS-NRPC включает метод проверки подлинности и метод создания безопасного канала Netlogon. Эти обновления внедряют определенное поведение клиента Netlogon для применения безопасного удаленного вызова процедур (RPC) с помощью безопасного канала Netlogon между компьютерами участников и контроллерами домена (DC) Active Directory (AD).
Уязвимость позволяет злоумышленнику заменить пароль учётной записи контроллера домена и получить права администратора домена. Подробности писать не буду, админам достаточно знать, что эксплуатация уязвимости проста, эксплойт уже существует.
Существует скрипт, проверяющий контроллер домена на уязвимость:
https://github.com/SecuraBV/CVE-2020-1472
Уязвимы операционные системы
- Windows Server 2019, all editions
- Windows Server 2016
- Windows Server, version 1909, all editions
- Windows Server, version 1903, all editions
- Windows Server, version 1809 (Datacenter, Standard)
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2 Service Pack 1
