TRUSSELVURDERING (TLP:CLEAR)

[NCSC-varsel] Oppdatering - Kritisk sårbarhet i Netlogon

24-09-2020

NCSC ønsker å minne om viktigheten av å adressere den kritiske protokollsårbarheten i Netlogon, CVE-2020-1472. Sårbarheten er også kjent som Zerologon og har CVSS score 10.0. Dersom virksomheten fortsatt er sårbar for Zerologon må man umiddelbart iverksette risikoreduserende tiltak [1,2]. US Cybersecurity and Infrastructure Security Agency (CISA) gikk 18. september ut med et nøddirektiv som pålegger alle amerikanske føderale myndigheter å oppdatere sårbare systemer [3].


Microsoft meldte nylig at de ser aktiv utnyttelse av sårbarheten [4,5].

Dette er en forventet utvikling gitt alvorligheten og at PoC-kode har vært tilgjengelig en stund.


Berørte virksomheter må sørge for at alle domenekontrollere har blitt oppdatert og det er viktig at det ikke henger igjen sårbare servere i virksomhetens infrastruktur. CISA/US-CERT har skrevet et PowerShell-script som kan benyttes til å validere at man har patchet [6].

PaloAlto anbefaler å benytte Secura sitt script [7] som ble omtalt i tidligere varsel [NorCERT#20946214] (OBS! NCSC har ikke validert eller kontrollert aktuell kode). Da CVE-2020-1472 er en protokollsråbarhet må virksomheten også undersøke om de er berørt av sårbarheten via andre tjenester eller spesielle konfigurasjoner, eksempelvis Samba [8,9].


NCSC følger situasjonen tett. Hvis man opplever forsøk på utnyttelse ber vi om at man tar kontakt med NCSC så fort som mulig. Det finnes flere signaturer i åpne kilder som kan detektere forsøk på utnyttelse [10,11].


NCSC-pulsen holdes på nivå 3 med bakgrunn i et komplekst sårbarhetsbilde, se referanser.


Referanser:

[NorCERT#20946214][TLP:HVIT][NCSC-varsel] Kritisk sårbarhet i Netlogon [NorCERT#20444198]

[1]https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

[2] https://unit42.paloaltonetworks.com/zerologon/

[3] https://cyber.dhs.gov/ed/20-04/

[4] https://twitter.com/MsftSecIntel/status/1308941504707063808

[5]https://www.computerweekly.com/news/252489539/Race-to-patch-as-Microsoft-confirms-Zerologon-attacks-in-the-wild

[6]https://github.com/cisagov/cyber.dhs.gov/tree/master/assets/report/ed-20-04_script

[7] https://github.com/SecuraBV/CVE-2020-1472

[8] https://www.samba.org/samba/security/CVE-2020-1472.html

[9]https://www.digi.no/artikler/ogsa-samba-servere-er-berort-av-zerologon-sarbarheten/499810

[10]https://rules.emergingthreats.net/open/suricata-5.0/rules/emerging-exploit.rules

[11]https://gist.github.com/silence-is-best/435ddb388f872b1a2e332b6239e9150b