МЕРКИ СРЕЩУ УЯЗВИМОСТИТЕ В WINDOWS NETLOGON
Приложими мерки срещу критични уязвимости: Zerologon – дупката за сигурност в Windows Netlogon
Zerologon е последната критична уязвимост, открита в операционната система Windows Server, засягаща всички версии от 2008 г. насам. Тази уязвимост има рейтинг на сериозност 10,0 и вече има престъпни групи, които лесно могат да използват недостатъка.
Получете цялата информация, от която се нуждаете, за най-новите критични и сериозни уязвимости, за които са налични експлойти на уебсайта на Panda Security, и осигурете вашата себе си и вашите клиенти с решението, което най-добре се адаптира към вашите нужди.
Как действа Zerologon?
Отдалеченият протокол Netlogon е механизъм, използван от архитектурата за удостоверяване на клиента в Windows Server. Неговата роля е да проверява влизанията в сесията и да регистрира, удостоверява и намира контролерите на домейни. Като такъв, той осигурява сигурен канал чрез криптиране между клиента и сървъра, действащ като контролер на домейн и позволява на потребителите да влизат в сървъри.
Сега, поради неправилното внедряване на AES-CFB8 в протокола Netlogon, противникът може да зададе нова парола без никакви други изисквания, поемайки пълен контрол над DC и получавайки идентификационни данни на администраторско ниво. Недостатъкът е в първоначалния протокол за удостоверяване, тъй като удостоверяването обикновено се заобикаля, така че противникът ще трябва само да установи TCP връзка с уязвим контролер на домейн. Обикновеното присъствие в локалната мрежа би било достатъчно, за да се използва този недостатък, тъй като не се изискват идентификационни данни за домейн.
Също така, както споменахме, че доказателство за концепция (PoC) за използване на тази уязвимост вече съществува и може да проверява дали системата е закърпена, за да предотврати уязвимостта. На скалата CVSSv3 тази уязвимост има максимален рейтинг 10.0, тъй като всичко, което се изисква, е «видимост» на контролера на домейни и следователно е достатъчно само да бъдете в мрежата.
Намаляване на прозореца на възможностите
Microsoft публикува корекция за поправяне на Zerologon заедно с поредица от промени в канала за защитена връзка на Netlogon, които администраторите трябва да прилагат. Както при всички уязвимости, от решаващо значение е ИТ или мениджърите за киберсигурност да внедрят корекции и актуализации възможно най-скоро, за да се намали „прозорецът на възможностите“, използван от кибератаките, т.е. времето преди актуализацията да бъде изтласкана към сървъра, за да се предотврати експлоатиране. Microsoft също публикува урок, за да помогне на системните администратори да поправят и конфигурират правилно системите.
Организациите просто не могат да си позволят да се откажат от противодействие на тези заплахи. Всъщност те трябва да подсилят защитата срещу онези уязвимости, които се използват от известно време. Един такъв пример е уязвимост от отказ на услуга (DoS) от шест години назад, която засегна WordPress и Drupal и която беше обсъдена в последния доклад за киберсигурност на WatchGuard като една от десетте най-големи мрежови атаки през второто тримесечие на тази година.
Познаването на проблемите, с които се сблъсквате, е полезно, макар и недостатъчно. За да сте сигурни, че устойчивостта на вашата киберсигурност отговаря на целта, трябва да сте сигурни, че системите са актуални и че са приложени съответните кръпки. За да подпомогне приоритизирането, управлението и внедряването на кръпки, Panda предоставя Panda Patch Management. Този модул на Panda Adaptive Defense, който не изисква допълнителни внедрявания от клиентите, не само управлява корекции и актуализации на операционната система, но и тези на приложения на трети страни.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
AntivirusBG – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08