Неизвестные злоумышленники сканируют Интернет и пытаются использовать ошибку повышения привилегий «ZeroLogon» в протоколе удаленного управления Microsoft Netlogon для контроллеров домена, который имеет полный рейтинг серьезности 10,0 из 10 в Общей системе оценки уязвимостей (CVSS).
Исследователь безопасности Microsoft Кевин Бомонт отметил в минувшие выходные, что кто-то отправил сотни попыток входа в систему, которые соответствуют цепочке эксплойтов для ZeroLogon.
Не прошедшему проверку подлинности злоумышленнику также удалось сбросить пароль компьютера honeypot контроллера домена Бомонта на пустой.
«BluePot» Бомонта-это сервер Active Directory с портами 135 и 445, прослушивающими соединения, и с доступными портами удаленного вызова процедур.
«Blueprint» Бомонта-это сервер Active Directory с портами 135 и 445, прослушивающими соединения, и доступными портами удаленного вызова процедур.
Honeypot обновлен патчами безопасности на июль 2020 года и построен на инструменте управления событиями инцидентов безопасности Microsoft Azure Sentinel.
«Итак, это эскалация в ландшафте угроз. Кто — то владеет непатченными серверами Active Directory, подключенными к Интернету. Их немного, — предупредил Бомон.
Microsoft устраняет этот недостаток в два этапа: во-первых, с помощью патчей, выпущенных в августе этого года, а во-вторых, путем ужесточения безопасности NRP к февралю 2021 года, когда режим принудительного исполнения будет включен по умолчанию.
Файловый сервер Samba system messaging block с открытым исходным кодом может использоваться в качестве контроллера домена для сетей Windows, а также подвержен уязвимости ZeroLogon CVE-2020-1472.
Версии Samba 4.8 и выше уязвимы только в том случае, если для параметра «server schannel» установлено значение «no» или «auto»; однако версии 4.7 и ниже уязвимы, если в конфигурационном файле smb.conf не указано «server schannel = yes», и поставщикам рекомендуется добавить этот параметр.
Неделю назад Агентство по кибербезопасности и инфраструктурной безопасности США выпустило экстренную директиву, требующую от правительственных учреждений обновить все контроллеры домена с помощью патча Microsoft от августа 2020 года.
