Microsoft предупредила клиентов Windows 10, что получила «небольшое количество сообщений» об атаках на ее протокол Netlogon, который был исправлен в августе.
Производитель Windows выпустил еще одно предупреждение в четверг после своего предупреждения в сентябре о том, что злоумышленники используют уязвимость с повышением привилегий, затрагивающую протокол Netlogon Remote Protocol (MS-NRPC).
Это протокол, используемый администраторами для аутентификации Windows Server как контроллера домена. Недостаток, содержащийся в нем, был достаточно серьезным, чтобы Агентство кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности приказало правительственным учреждениям США применить исправление Microsoft для исправления ошибки, которое отслеживается как CVE-2020-1472, но также называется Zerologon, в течение трех дней после его выпуск в августовском обновлении во вторник.
SEE: Политика осведомленности и обучения безопасности (TechRepublic Premium)
Исследователи в области безопасности обнаружили, что ошибка была проста использовать, что делает его главной целью для более гибких злоумышленников. Но когда Microsoft выпустила патч во вторник, 11 августа, некоторые системные администраторы не знали о его серьезности.
Злоумышленники могли использовать уязвимость для запуска вредоносного ПО на устройстве в сети после подмены учетных записей контроллера домена Active Directory. В качестве оружия он получил дополнительный бонус в виде общедоступных экспериментальных эксплойтов Zerologon вскоре после того, как Microsoft выпустила свой патч.
CISA предупредил агентства, чтобы они незамедлительно исправили ошибку, поскольку контроллеры домена Windows Server широко используются в правительственных сетях США, и ошибка имела редкую степень серьезности 10 из 10. Это побудило CISA дать указание агентствам применить патч на той же неделе, что и патч Microsoft от 11 августа.
Microsoft обновила свой документ поддержки для ошибки, чтобы внести дополнительную ясность. Он рекомендует администраторам обновлять контроллеры домена с помощью исправления, отслеживать журналы устройств, подключающихся к серверу, и включать режим принудительного применения.
Microsoft и CISA особенно обеспокоены тем, что кибер-злоумышленники могут использовать уязвимость для срыва выборов в США. В сентябре компания предупредила, что китайские, иранские и российские хакеры нацелены на кампании Байдена и Трампа.
«Мы связались с CISA, которая выпустила дополнительное предупреждение, чтобы напомнить государственным и местным агентствам, в том числе тем, которые участвовали в выборах в США, о принятии мер, необходимых для устранения этой уязвимости», — сообщила Microsoft.
Ошибка была достаточно серьезной, чтобы Microsoft выпустила ключ реестра, который помогал администраторам включить «принудительный режим» до того, как компания сделает этот режим обязательным 9 февраля 2021 года.