A ZeroLogon sebezhetőség lehetséges kihasználására figyelmeztet a Microsoft

A ZeroLogon néven elhíresült CVE-2020-1472 sebezhetőség kihasználására figyelmeztet a Microsoft. A 10/10 kritikussági besorolású sebezhetőséget kihasználva a támadó domain admin jogokhoz juthat. A gond az, hogy a Microsoft csak a probléma felét patchelte meg eddig:

In August 2020, Microsoft released a patch for CVE-2020-1472 (Zerologon). All AD servers (2008 R2 and above) should be patched as soon as possible. [...] What’s more, unfortunately the newly issued patch only fixes half of the problem. Microsoft will release the second phase of the patch, which will include the enforcement phase, on February 9, 2021. At that time, all devices will be required to use the secure channel mode and if they do not, they will be denied access. If there are older non-compliant devices, they will have to be manually added to a group policy that explicitly allows access to non-compliant devices.

Hozzászólások

Hogyhogy ennyire specifikus a jövő februári dátum? Ekkor járnak le a backdoor használati jogai az NSA-vel, vagy mi? :DD

root@ubuntu:/tmp# ./exp dc03 xx.xx.xx.xx
Performing authentication attempts...
==============================================================================

==============================================================================

==============================================================================

===============================================================================

===============================================================================

===============================================================================

Attack failed. Target is probably patched.

root@ubuntu:/tmp# ./exp dc04 xx.xx.xx.xx
Performing authentication attempts...

==============================================================================

==============================================================================

==============================================================================

===============================================================================

===============================================================================

===============================================================================

Attack failed. Target is probably patched.

 

¯\_(ツ)_/¯

trey @ gépház

Szerkesztve: 2020. 10. 09., p - 17:31

Riasztás „ZeroLogon” sérülékenységgel kapcsolatban

^^

A Microsoft Netlogon Remote Protocol (MS-NRPC) szolgáltatásban lévő nem megfelelő biztonsági korlátozások miatt, a jogosultsággal nem rendelkező távoli támadó, az MS-NRPC szolgáltatás sérülékenységét kihasználva, adminisztrátori hozzáférést szerezhet az érintett szerverhez.

Annyiban javítanám, hogy nem az értintett szerverhez, hanem a domain-be léptetett összes szerverhez, desktop-hoz stb. ugyanis domain admin joghoz lehet jutni.

trey @ gépház