Kritisk sårbarhet i Netlogon
NCSC ønsker å varsle om en kritisk sårbarhet i Windows Server kjent som Zerologon (CVE-2020-1472).
Alle støttede versjoner av Windows Server som ikke har fått august 2020-oppdateringen fra Microsoft skal være sårbare. Sårbarheten tillater en uautentisert angriper i nettverket å oppnå administratortilgang på domenekontrolleren.
Angrepet utnytter en svakhet i en Netlogon-protokollen, som bekrefter identiteten til en maskin som kobler seg til domenekontrolleren. Ved å forfalske en autentiseringstoken er det mulig å endre passordet på en domenekontroller til en kjent verdi. Etter dette vil angriper kunne bruke det nye passordet til å ta kontroll over domenekontrolleren og tilegne seg påloggingsdetaljene til en domeneadministrator.
Sårbarheten ble mitigert i sikkerhetsoppdateringene for august 2020 og NCSC anbefaler alle som ikke enda har gjort dette å installere disse på alle domenekontrollere. Secura har sluppet et verktøy for å sjekke om domenekontrollere er sårbare1.
NCSC er ikke kjent med aktiv utnyttelse av sårbarheten, men utnyttelseskode skal være offentlig tilgjengelig2.
Referanser:
1 https://github.com/SecuraBV/CVE-2020-1472
2https://twitter.com/wdormann/status/1305564045282598912
3https://www.secura.com/blog/zero-logon