Tôi chắc chắn rằng nhiều người trong số các bạn hiện đã nghe nói về một lỗ hổng máy chủ Windows nghiêm trọng được tiết lộ gần đây — được gọi là Zerologon—Điều đó có thể cho phép tin tặc chiếm đoạt hoàn toàn các mạng doanh nghiệp.
Tóm lại, đối với những người không biết, tất cả các phiên bản được hỗ trợ của hệ điều hành Windows Server đều dễ bị tấn công bởi một lỗi báo cáo đặc quyền quan trọng nằm trong Điều khiển từ xa Netlogon Giao thức cho bộ điều khiển miền.
Nói cách khác, lỗ hổng cơ bản (CVE-2020-1472) có thể bị kẻ tấn công lợi dụng để xâm phạm các dịch vụ Active Directory và cuối cùng là miền Windows mà không yêu cầu bất kỳ xác thực nào.
Điều tồi tệ hơn là một bản khai thác bằng chứng khái niệm cho lỗ hổng này đã được công bố vào tuần trước và ngay sau đó, những kẻ tấn công bắt đầu khai thác điểm yếu này chống lại các hệ thống chưa được vá trong tự nhiên.
Như được mô tả trong phủ sóng dựa trên một phân tích kỹ thuật được công bố bởi các nhà nghiên cứu bảo mật Cynet, vấn đề cơ bản là việc triển khai AES-CFB8 của Microsoft, trong đó Microsoft không thể sử dụng các muối ngẫu nhiên, duy nhất cho các thông báo Netlogon này.
Kẻ tấn công cần gửi một chuỗi số 0 được chế tạo đặc biệt trong các thông điệp Netlogon để thay đổi mật khẩu của bộ điều khiển miền được lưu trữ trong Active Directory.
Đối với những độc giả THN muốn tìm hiểu chi tiết về mối đe dọa này, bao gồm thông tin kỹ thuật, các biện pháp giảm thiểu và kỹ thuật phát hiện, họ nên tham gia hội thảo trực tiếp trên web (đăng ký ở đây) với Aviad Hasnis, CTO tại Cynet.
Hội thảo trên web giáo dục về an ninh mạng miễn phí được lên kế hoạch vào ngày 30 tháng 9 lúc 5:00 chiều GMT và cũng nhằm thảo luận về các hoạt động khai thác được triển khai trong tự nhiên để tận dụng lỗ hổng này.
Bên cạnh đó, nhóm Cynet cũng đã phát hành một công cụ phát hiện miễn phí để cảnh báo bạn về bất kỳ hoạt động khai thác Zerologon nào trong môi trường của bạn.
