Відгуки Zerologon щодо програми виправлень Microsoft

Деякі з вас запитували мене про виправлення, випущене в серпні корпорацією Майкрософт для вразливості CVE-2020-1472 (Zerologon) щодо протоколу автентифікації Netlogon. Нагадуємо, кілька загальнодоступних POC дозволяють використовувати вразливість [1], і деякі зловмисники, такі як ті, хто стоїть за програмами-вимагателями Ryuk, не соромлячись використовувати її та компрометувати всю ІС та шифрувати якомога більше даних [2]. Ця інформація згадується у звіті, опублікованому 30 листопада CERT-FR ANSSI [3].

відгуки

Хоча деякі знайшли час, щоб прочитати керівництво Microsoft щодо застосування цього патча [4], деякі, можливо, пропустили його, як мені сказали, тож ось трохи наздоганяючого.

Важливо пам’ятати, що Microsoft вирішила продовжити два кроки:

  • A оновлення, щоб змусити використовувати захищений канал Netlogon, опубліковано в місяцісерпень 2020
  • A вимушена рідна активація використання безпечного каналу Netlogon, який надійде в запланованому місяці Лютий 2021

Незважаючи на те, що мені не вдалося використати уразливість контролерів доменів, які отримали серпневу виправлення, з різними загальнодоступними POC, а також сканером, вбудованим в останню версію Ping Castle, настійно рекомендується змусити використовувати захищений Netlogon каналу.
Ось як далі.

1. Виправлення контролерів домену

Перш за все, це необхіднозастосувати виправлення до всіх контролерів домену щоб уникнути можливих проблем реплікації та підключення до домену.

2. Стежте за незахищеними з’єднаннями

Далі важливо відстежувати, чи використовує будь-яка машина в домені вразливе з'єднання Netlogon за допомогою ідентифікатора 5829 створений спеціально для виявлення такого типу проблем.

3. Виправте або створіть список виключень

Якщо так, найкраще зрозуміти причину та вирішити проблему. Проблема не повинна виникати для більш-менш останніх машин Windows, для сторонніх систем необхідне розслідування.

Якщо не вдається вирішити проблему для "екзотичної" машини, об'єкт групової політики дозволяє визначити машини, яким дозволено підключатися через вразливий канал Netlogon [5].

4. Примусово використовувати захищене з’єднання до лютого

Тепер можна примусити захищене з’єднання Netlogon, передавши ключ реєстру FullSecureChannelProtection до 1 [6].

5. Застосуйте "остаточне" виправлення в лютому:

Коли буде застосовано щомісячну виправку безпеки 9 лютого 2021 року, буде застосовано використання захищеного каналу Netlogon. Зміна згаданого вище розділу реєстру більше не матиме жодного ефекту, а тому неможливо буде використовувати вразливе підключення. Тому важливо провести необхідні тести, виправити будь-які проблеми та додати до білого списку машини, які доведеться підключати незахищеним чином.

Ми сподіваємось, що ця публікація дозволить вам передбачити можливі проблеми, пов’язані з цією вразливістю.