Zerologon обратна връзка за приложението на Microsoft за корекции

Няколко от вас ме попитаха за корекцията, пусната през август от Microsoft за уязвимостта CVE-2020-1472 (Zerologon) по отношение на протокола за удостоверяване Netlogon. За напомняне, няколко публично достъпни POC позволяват да се използва уязвимостта [1] и някои нападатели, като тези зад рансъмуера Ryuk, не се колебаят да го използват и компрометират целия IS и криптират възможно най-много данни [2]. Тази информация е припомнена в доклад, публикуван на 30 ноември от CERT-FR на ANSSI [3].

microsoft

Докато някои отделиха време да прочетат ръководството на Microsoft за прилагане на тази корекция [4], някои може да са го пропуснали, както ми беше казано, така че ето малко наваксване.

Важно е да се има предвид, че Microsoft е избрала да продължи две стъпки:

  • A актуализация, за да принуди използването на защитен канал Netlogon, публикувано през месецавгуст 2020
  • A принудително местно активиране използването на защитения канал Netlogon, който ще пристигне в кръпка на месеца Февруари 2021

Въпреки че не успях да използвам уязвимостта на контролерите на домейни, които получиха корекцията през август с различни публично достъпни POC, както и скенера, вграден в най-новата версия на Ping Castle, силно се препоръчва да се наложи използването на защитен Netlogon канал.