Microsoft исправляет критическую уязвимость, позволяющую полностью захватить корпоративные сети

Сегодняшний вторник исправлений Microsoft исправляет одну из самых серьезных уязвимостей, о которых когда-либо сообщалось компании: Zerologon, который получил 10/10 баллов в Общей системе оценки уязвимостей и позволяет удаленно захватывать любую сеть Windows с помощью Active Directory.

Обновите свои серверы Windows как можно скорее

Уязвимость находится в Netlogon, процессе, который аутентифицирует пользователей на контроллерах домена, используемых для входа в сети Windows.

Ошибка использует некоторые слабые криптографические протоколы, используемые внутри Netlogon, что позволяет злоумышленникам добавлять нулевые данные к запросам и использовать программу. Это позволяет злоумышленникам:

• Измените произвольные пароли в Active Directory контроллера домена.
• Выдавать себя за другие компьютеры в сети.
• Отключите функции безопасности в процессе входа в сеть.

Это определенно заслуживает критической оценки 10/10. Это позволяет злоумышленнику аутентифицироваться как любой пользователь, менять пароли и захватить весь контроллер домена, а также мгновенно стать администратором домена, полностью подорвав всю криптографию, обычно используемую для проверки паролей.

Излишне говорить, что вы должны обновить свои серверы Windows сегодня.

Атаку также довольно просто осуществить, так как она просто заполняет определенные параметры сообщения нулями и несколько раз пытается установить пустой пароль на контроллере домена, как показано здесь на графике из технического документа Secura по уязвимости:

Чтобы реально воспользоваться уязвимостью, злоумышленники должны находиться в локальной сети, что, по крайней мере, исключает сценарий катастрофы, когда это происходит через уязвимый веб-интерфейс. Но это может сделать любой компьютер в сети, независимо от привилегий, так что это все равно очень эффективно.