В настоящее время опубликован код эксплойта для серьезной ошибки повышения привилегий в удаленном протоколе Netlogon для контроллеров домена в сетях Windows, и пользователям рекомендуется как можно скорее применить августовский патч безопасности, выпущенный Microsoft.
Недостаток НРП был найден исследователем голландский безопасности Секура поставщика Тома Tervoort.
В то время как подробности уязвимости «Zerologon» не были обнародованы в августе, Secura теперь предоставила полную информацию об этом недостатке.
Сегодня на Github было опубликовано доказательство концепции исследователя безопасности Дирка-яна Молленма для этой уязвимости, которая имеет полный рейтинг серьезности 10,0 из 10 возможных Common Vulnerability Scoring System (CVSS).
Недостаток Zerologon позволяет злоумышленнику, закрепившемуся во внутренней сети Windows, просто отправлять несколько сообщений Netlogon, заполняя различные поля нулями и изменяя сохраненный в Active Directory пароль Контроллера домена.
«Атака имеет огромное влияние: она в основном позволяет любому злоумышленнику в локальной сети (например, вредоносному инсайдеру или тому, кто просто подключил устройство к локальному сетевому порту) полностью скомпрометировать домен Windows»,-писал Тервоорт.
Преступники-вымогатели особенно склонны использовать уязвимость Zerologon.
Microsoft теперь обратилась к недостатку, который лежит в криптографической системе Netlogon, и тестирование Tervoort показывает, что уязвимость Zerologon не работает с примененным августовским патчем.
Дальнейшее ужесточение NRP будет сделано Microsoft в феврале следующего года, когда режим принудительного исполнения протокола будет включен по умолчанию.
Это обеспечивает безопасную связь NRP для устройств, которые потребуют от администраторов обновления оборудования, подключенного к их сетям, или для белых списков устройств, которые не поддерживают более безопасный протокол.
Secura также опубликовала скрипт Python на Github, чтобы проверить, является ли контроллер домена уязвимым.