home Новости Microsoft предупреждает о приближении патча Windows Zerologon

Microsoft предупреждает о приближении патча Windows Zerologon

microsoft, windows, zerologon

Сегодня Microsoft предупредила администраторов, что обновления, направленные на устранение уязвимости Windows Zerologon, перейдут в фазу принудительного применения, начиная со следующего месяца.

Zerologon. это критическая уязвимость безопасности с рейтингом 10/10, отслеживаемая как CVE-2020-1472, которая при успешном использовании позволяет злоумышленникам повысить права администратора домена и получить контроль над доменом.

«Мы напоминаем нашим клиентам, что начиная с выпуска обновления безопасности от 9 февраля 2021 г. мы по умолчанию включим режим принудительного применения контроллера домена». сказал вице-президент MSRC по разработке Аншал Гупта.

«Режим принудительного применения DC требует, чтобы все устройства с Windows и другие устройства использовали безопасный RPC с безопасным каналом Netlogon, если только клиенты явно не разрешили уязвимость учетной записи, добавив исключение для несовместимого устройства».

Детали развертывания исправления

Патч, выпущенный как часть обновлений во вторник августа 2020 года, обеспечивает безопасную связь удаленного вызова процедур (RPC) для учетных записей компьютеров на устройствах Windows, доверенных учетных записях, а также для всех контроллеров домена Windows и других производителей.

READ  Ноутбук Acer Swift 3x обеспечивает мощную графику Intel для начинающих авторов

Он также регистрирует все несовместимые устройства в среде, чтобы системные администраторы решали свои проблемы или заменяли их до этапа принудительного применения.

С обновлениями от февраля 2021 года Microsoft автоматически начнет обеспечивать безопасную связь RPC для всех устройств в сети и больше не будет регистрировать несовместимые машины.

Microsoft также разъяснила шаги, которые необходимо предпринять для защиты своих устройств от атак Zerologon, после того как клиенты сочли первоначальное руководство запутанным.

План обновления, изложенный Microsoft, включает следующую процедуру:

  • ОБНОВИТЕ свои контроллеры домена с помощью обновления, выпущенного 11 августа 2020 г. или новее.
  • УЗНАЙТЕ, какие устройства создают уязвимые соединения, отслеживая журналы событий.
  • Устройства, не поддерживающие АДРЕС, устанавливают уязвимые соединения.
  • ВКЛЮЧИТЬ режим принудительного применения для защиты от CVE-2020-1472 в вашей среде.

Зерологон под атакой

Вскоре после того, как в августе 2020 года были опубликованы новости об исправлении Zerologon, исследователи опубликовали экспериментальные эксплойты ZeroLogon, позволяющие злоумышленникам легко получить административный доступ к контроллеру домена.

Выпустив публичные эксплойты, Microsoft предупредила, что злоумышленники быстро их приняли и начали использовать ZeroLogon в атаках.

READ  В STALKER 2 новый главный герой, разработка идет плавно

Месяц спустя Microsoft также добавила поддержку обнаружения эксплойтов Zerologon в Microsoft Defender for Identity, что позволило группам безопасности обнаруживать локальные атаки, пытающиеся использовать эту критическую уязвимость.

«Организации, которые развертывают Microsoft Defender for Identity (ранее Azure Advanced Threat Protection) или Microsoft 365 Defender (ранее Microsoft Threat Protection), могут обнаруживать злоумышленников, когда они пытаются использовать эту конкретную уязвимость на своих контроллерах домена». сказал Гупта.

Источник