NCSC ønsker å minne om viktigheten av å adressere den kritiske protokollsårbarheten i Netlogon, CVE-2020-1472. Sårbarheten er også kjent som Zerologon og har CVSS score 10.0. Dersom virksomheten fortsatt er sårbar for Zerologon må man umiddelbart iverksette risikoreduserende tiltak [se 1,2]. US Cybersecurity and Infrastructure Security Agency (CISA) gikk 18. september ut med et nøddirektiv som pålegger alle amerikanske føderale myndigheter å oppdatere sårbare systemer [3].

Microsoft meldte nylig at de ser aktiv utnyttelse av sårbarheten [4,5]. Dette er en forventet utvikling gitt alvorligheten og at PoC-kode har vært tilgjengelig en stund.

Berørte virksomheter må sørge for at alle domenekontrollere har blitt oppdatert og det er viktig at det ikke henger igjen sårbare servere i virksomhetens infrastruktur. CISA/US-CERT har skrevet et PowerShell-script som kan benyttes til å validere at man har patchet [6]. PaloAlto anbefaler å benytte Secura sitt script [7]. (OBS! NCSC har ikke validert eller kontrollert aktuell kode). Da CVE-2020-1472 er en protokollsårbarhet må virksomheten også undersøke om de er berørt av sårbarheten via andre tjenester eller spesielle konfigurasjoner, eksempelvis Samba [8,9].

NCSC følger situasjonen tett. Hvis man opplever forsøk på utnyttelse ber vi om at man tar kontakt med NCSC så fort som mulig. Det finnes flere signaturer i åpne kilder som kan detektere forsøk på utnyttelse [10,11].

[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

[2] https://unit42.paloaltonetworks.com/zerologon/

[3] https://cyber.dhs.gov/ed/20-04/

[4] https://twitter.com/MsftSecIntel/status/1308941504707063808

[5] https://www.computerweekly.com/news/252489539/Race-to-patch-as-Microsoft-confirms-Zerologon-attacks-in-the-wild

[6] https://github.com/cisagov/cyber.dhs.gov/tree/master/assets/report/ed-20-04_script

[7] https://github.com/SecuraBV/CVE-2020-1472

[8] https://www.samba.org/samba/security/CVE-2020-1472.html

[9] https://www.digi.no/artikler/ogsa-samba-servere-er-berort-av-zerologon-sarbarheten/499810

[10] https://rules.emergingthreats.net/open/suricata-5.0/rules/emerging-exploit.rules

[11] https://gist.github.com/silence-is-best/435ddb388f872b1a2e332b6239e9150b