ในเดือนสิงหาคม Microsoft เปิดเผยว่า Windows Netlogon Remote Protocol (MS-NRPC) มีช่องโหว่ที่สำคัญ อย่างไรก็ตามเมื่อสัปดาห์ที่แล้วรายงานแรกของอาชญากรไซเบอร์ที่โจมตีอย่างแข็งขันโดยใช้ประโยชน์จากมันปรากฏขึ้น ช่องโหว่ที่สำคัญนี้เรียกว่า“ Zerologon” และเป็นสิ่งสำคัญมากที่คุณจะต้องแก้ไข Windows ของคุณหากคุณไม่ต้องการมีปัญหาด้านความปลอดภัยที่ร้ายแรง
การแจ้งเตือนความปลอดภัยของ Microsoft ใน Zerologon
ก่อนหน้านี้เราได้อธิบายไปแล้วว่าข้อมูลแรกเริ่มตั้งแต่เดือนสิงหาคม แต่จนถึงสิ้นเดือนกันยายน การโจมตีครั้งแรกโดยใช้ Zerologon ยังไม่เกิดขึ้น ในวันพฤหัสบดีที่ 24 กันยายน Microsoft ในบัญชี Twitter อย่างเป็นทางการเริ่มแจ้งเตือนเกี่ยวกับปัญหา สิ่งนี้สื่อสารว่าผู้โจมตีได้ใช้ช่องโหว่ Zerologon
นอกจากนี้ บริษัท ยังให้ความเห็นว่ามีการหาประโยชน์จากสาธารณะอยู่แล้วที่ผู้โจมตีได้รวมไว้ในคลังแสงของการโจมตีบนเซิร์ฟเวอร์ Windows Microsoft แนะนำให้ลูกค้าใช้การอัปเดตความปลอดภัยสำหรับทันที CVE-2020-1472 .
หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) เพิ่มความรู้สึกเร่งด่วนด้วยตัวของมันเอง เตือนภัย . ขอให้ผู้ดูแลระบบไอทีแก้ไขตัวควบคุมโดเมนทั้งหมดทันที สิ่งนี้บ่งชี้ว่าเป็นปัญหาร้ายแรง
ช่องโหว่ Zerologon คืออะไร
ข้อบกพร่องด้านความปลอดภัยนี้ส่งผลกระทบต่อผู้ใช้ Windows Server บริษัท รักษาความปลอดภัยทางไซเบอร์ Secura เป็นผู้ตั้งชื่อช่องโหว่ดังกล่าวว่า Zerologon หากใช้โดยอาชญากรไซเบอร์อาจได้รับสิทธิ์ของผู้ดูแลระบบในโดเมนและมีการควบคุมทั้งหมด
CVE-2020-1472 เป็นการยกระดับช่องโหว่ของสิทธิพิเศษที่มีอยู่ใน MS-NRPC Netlogon เป็นส่วนประกอบการรับรองความถูกต้องหลักของ Microsoft Active Directory นอกจากนี้ Netlogon ยังเป็นบริการที่ผู้ควบคุมโดเมนจัดเตรียมช่องทางที่ปลอดภัยระหว่างคอมพิวเตอร์และตัวควบคุมโดเมน ช่องโหว่ของ Zerologon ได้รับการกำหนดระดับ CVSS เป็น 10 โปรดทราบว่าการให้คะแนนนี้เป็นระดับความรุนแรงสูงสุดที่เป็นไปได้สำหรับข้อบกพร่องของซอฟต์แวร์ซึ่งบ่งบอกถึงความรุนแรง
เหตุผลคือข้อบกพร่องด้านความปลอดภัยที่สำคัญ
Microsoft ได้ให้ความเห็นว่าข้อบกพร่องด้านความปลอดภัยของ Netlogon ทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถใช้ MS-NRPC เพื่อเชื่อมต่อกับตัวควบคุมโดเมนและได้รับสิทธิ์การเข้าถึงแบบเต็มของผู้ดูแลระบบ
ช่องโหว่ของ Zerologon ทำให้ทุกคนสามารถอนุญาตและใช้ช่องทางนี้ได้อย่างง่ายดายแม้จะมาจากเครื่องที่ไม่ใช่โดเมนก็ตาม
จะเกิดอะไรขึ้นถ้าเราไม่ใช้แพทช์ทันที
ด้วยการไม่แก้ไขช่องโหว่ของ Zerologon เราจะปล่อยให้ทรัพย์สินที่สำคัญที่สุดของเราไม่มีการป้องกันจากภัยคุกคามที่แท้จริง นอกจากนี้เราสามารถยืนยันได้ว่าไม่ใช่ข้อผิดพลาดทางทฤษฎีเนื่องจากผู้โจมตีสามารถใช้งานได้อย่างแข็งขันกับ บริษัท ต่างๆ ตามที่เราได้กล่าวไว้ก่อนหน้านี้ต้องจำไว้ว่าข้อบกพร่องด้านความปลอดภัยนี้ได้คะแนนสูงสุดและมีการหาประโยชน์จากสาธารณะเพื่อใช้ประโยชน์จากข้อบกพร่องเหล่านี้
แพตช์เดือนสิงหาคมของ Microsoft ไม่ใช่วิธีแก้ปัญหาขั้นสุดท้าย
Microsoft เพื่อแก้ไขช่องโหว่ Zerologon กำลังจะออกแพตช์สองตัว ครั้งแรกเปิดตัวในเดือนสิงหาคมและวางจำหน่ายแล้วในขณะนี้ช่วยปกป้องเราจากการใช้ช่องโหว่ แพตช์ที่สองมีกำหนดในเดือนกุมภาพันธ์ 2021 โดยมีเป้าหมายเพื่อบังคับใช้การเข้าสู่ระบบที่ปลอดภัยผ่านการเรียกขั้นตอนระยะไกล (RPC) ด้วย Netlogon
ในขณะนี้โปรแกรมแก้ไขที่ Microsoft เผยแพร่เปิดใช้งานคุณลักษณะด้านความปลอดภัยที่ป้องกันไม่ให้ช่องโหว่ของ Zerologon ทำงานได้ อย่างไรก็ตามสิ่งนี้ไม่ได้แก้ไขปัญหาบริการพื้นฐานที่จะได้รับการแก้ไขอย่างถาวรด้วยโปรแกรมแก้ไขที่สอง
สิ่งที่ บริษัท สามารถทำได้เพื่อป้องกันตัวเอง
สิ่งแรกที่เราต้องทำคือติดตั้งโปรแกรมแก้ไขสำหรับช่องโหว่ Zerologon ในตอนนี้วิธีเดียวที่จะได้รับการป้องกันอย่างเต็มที่จากข้อบกพร่องด้านความปลอดภัยนี้คือการระบุตัวควบคุมโดเมนที่สามารถเข้าถึงได้ทางอินเทอร์เน็ตใช้โปรแกรมแก้ไขกับพวกเขาและปฏิบัติตามคำแนะนำของ Microsoft เกี่ยวกับวิธีบังคับใช้การเชื่อมต่อ RPC ที่ปลอดภัย
