Брешь в Windows Server по-прежнему используется хакерами

Zerologon, появившийся в начале сентября и оценённый на 10 баллов из 10 по шкале CVSS, стал самым опасным явлением в области информационных технологий. Microsoft отмечают, что жалобы пользователей, ставших его жертвой, не прекращаются, и рекомендуют всем, кто этого ещё не сделал, установить свежий патч.

Как мы уже рассказывали в предыдущей статье, уязвимость была обнаружена в службе Netlogon, а бреши дано имя CVE-2020-1472. Её особенность в том, что через неё пользователь сети может без всякой авторизации подключиться по протоколу MS-NRPC к контроллеру домена. Сделав это, пользователь может повысить свои права в сети до уровня администратора, что позволит ему совершать в ней любые действия. Самое банальное - в сеть можно запустить программу-шифровальщика, которая не позволит работать ни одному подключенному устройству.

Microsoft выпустили патч для Widows Server, но политику доменов собираются менять только в начале следующего года. Такое решение было принято, чтобы не создавать проблем с доступом в уже работающих сетях. Поэтому, пускай, количество атак через Zerologon снизилось, полностью они не прекратились и по-прежнему представляют угрозу.

Эксперты Microsost пишут:

"Мы настоятельно рекомендуем всем, кто еще не произвел обновление, сделать это незамедлительно. Чтобы обеспечить полную защиту от эксплойта, нужно не только установить апдейт, но также выполнить все инструкции, указанные в первоначальном варианте KB4557222"

Вот свежий текст этих инструкций:

"Установить на контроллеры доменов обновление, выпущенное 11 августа 2020 года или позднее.

Выявить устройства, устанавливающие ненадежные соединения, посредством мониторинга журнала событий.

Привести эти устройства в соответствие требованиям безопасности.

Включить режим применения политик для защиты от атак через CVE-2020-1472 в масштабах всего окружения."