11.8.2020 je Microsoft izdal zelo pomemben popravek za odpravo ranljivosti CVE-2020-1472 oziroma tako imenovani »ZeroLogon«, ki napadalcu omogoča prevaro pri preverjanju pristnosti z domenskimi krmilniki in posledično pridobitvi privilegiranega dostopa do Aktivnega Imenika.
Na spletu so se zelo hitro razširili primeri napadov s podrobnimi navodili, kako izvedemo takšen napad, zato je zelo pomembno, da na domenske krmilnike namestimo popravek in onemogočimo ranljivost.
Kako poteka napad ZeroLogon?
Napadalec iz okuženega računalnika v omrežju izvede napad na enega izmed domenskih krmilnikov, in sicer z uporabo računalniškega računa in praznim geslom, zaradi tega tudi ime ZeroLogon.
Nekaj ukazov kasneje se lahko uspešno povežemo na domenski krmilnik z ukradenimi poverilnicami.
Kako se lahko zaščitimo?
Na Microsoftovi spletni strani lahko pridobite popravek, ki ga je potrebno namestiti na vse domenske krmilnike v omrežju. Popravek je na voljo za vse podprte operacijske sisteme in tudi za operacijski sistem Windows Server 2008 R2, ki ni več uradno podprt.
Z namestitvijo popravka ranljivost še ne bo odpravljena
Pomembno je vedeti, da z namestitvijo popravka še ne boste odpravili ranljivosti, ampak zgolj pridobili možnost nadzora nad napravami v omrežju, ki uporabljajo ranljivi protokol. Ranljiva povezava med napravami in domenskimi krmilniki bo zaznana v pregledovalniku dogodkov z ID številko 5829. Naprave, ki uporabljajo ranljivo povezavo, je priporočljivo posodobiti ali opcijsko narediti izjemo z uporabo Group Policy politike “Domain controller: Allow vulnerable Netlogon secure channel connections”, kot je opisano na tej povezavi.
Ko ste iz vašega okolja odstranili vse ranljive naprave, pa je potrebno onemogočiti ranljivo povezavo, in sicer tako, da aktivirate tako imenovani enforcement mode.
Kontaktirajte nas in veseljem vam bomo pomagali pri odpravi ZeroLogon in ostalih ranljivosti Aktivnega Imenika in s tem zaščitite vaša okolja pred morebitnimi napadi.
Za več informacij nas kontaktirajte na info@add.si, +386 (0)1 479 00 11 ali pa izpolnite kontaktni obrazec.