Введение:

В сентябре 2020 года было обнаружено серьезное уязвимость в протоколе Netlogon, которая получила код CVE-2020-1472 и стала известна как ZeroLogon. Эта уязвимость принесла угрозу безопасности для многих серверов, поскольку она позволяла злоумышленникам получить доступ к серверу и модифицировать пароль учетной записи компьютера в домене Active Directory.

ZeroLogon получила огромное внимание со стороны сообщества информационной безопасности из-за ее потенциального воздействия на системы и возможности создания широкой атаки на серверы.

Технические детали уязвимости:

Название и код уязвимости: CVE-2020-1472 (ZeroLogon)

Программное обеспечение, затронутое уязвимостью: Microsoft Windows Server версий 2008 и выше

Описание вектора атаки: Злоумышленник, находясь в локальной сети, мог использовать уязвимость ZeroLogon для аутентификации на контроллере домена Active Directory и изменения пароля компьютера в домене.

Технические подробности: Уязвимость заключалась в недостатке аутентификации, который позволял злоумышленнику обойти защитные меры и получить доступ к серверу.

Последствия эксплуатации:

При успешной эксплуатации ZeroLogon злоумышленник мог получить полный контроль над сервером и продолжить атаку на другие системы в сети. Потенциальные риски включали в себя кражу данных, удаленное выполнение кода и отказ в обслуживании.

Методы обнаружения:

Для определения наличия уязвимости на сервере можно воспользоваться инструментами, такими как Nmap или OpenVAS. Также можно обратить внимание на логи или сообщения об ошибках, которые могут указывать на наличие ZeroLogon.

Меры по устранению:

Для устранения уязвимости рекомендуется установить патчи и обновления, предоставленные производителем ПО. Также можно использовать временные решения (workarounds) до установки патчей и усилить безопасность системы, например, используя межсетевой экран и ограничивая права доступа.

Примеры атак:

«Безопасность — это не конечное состояние, это процесс.» — Брюс Шнайер

На данный момент не было зафиксировано реальных атак с использованием ZeroLogon, но существуют демонстрации атак (Proof of Concept), которые показывают возможность успешного эксплуатирования уязвимости.

Выводы:

ZeroLogon, уязвимость с кодом CVE-2020-1472, представляет серьезную угрозу для серверов, работающих под управлением Microsoft Windows Server. Для защиты системы необходимо оперативно устанавливать патчи и обновления, следить за логами и обращать внимание на сообщения об ошибках. Безопасность серверов — это непрерывный процесс, и необходимо постоянно улучшать меры защиты, чтобы предотвратить потенциальные атаки.