[NCSC-varsel] Kritisk sårbarhet i Netlogon

NCSC ønsker å varsle om en kritisk sårbarhet i Windows Server kjent som Zerologon (CVE-2020-1472). Alle støttede versjoner av Windows Server som ikke har fått august 2020-oppdateringen fra Microsoft skal være sårbare. Sårbarheten tillater en uautentisert angriper i nettverket å oppnå administratortilgang på domenekontrolleren.

Angrepet utnytter en svakhet i Netlogon-protokollen, som bekrefter identiteten til en maskin som kobler seg til domenekontrolleren. Ved å forfalske en autentiseringstoken er det mulig å endre passordet på en domenekontroller til en kjent verdi. Etter dette vil angriper kunne bruke det nye passordet til å ta kontroll over domenekontrolleren og tilegne seg påloggingsdetaljene til en domeneadministrator.

Anbefaling:

Sårbarheten ble mitigert i sikkerhetsoppdateringene for august 2020 og NCSC anbefaler alle som ikke enda har gjort dette å installere disse på alle domenekontrollere. Secura har sluppet et verktøy for å sjekke om domenekontrollere er sårbare [1][2].

NCSC er ikke kjent med aktiv utnyttelse av sårbarheten, men utnyttelseskode skal være offentlig tilgjengelig [2].

NCSC-pulsen blir værende på nivå tre (3).

Referanser:
[1] https://github.com/SecuraBV/CVE-2020-1472
[2] https://www.secura.com/blog/zero-logon

[3] https://twitter.com/wdormann/status/1305564045282598912