VARSEL (TLP:CLEAR)

[NCSC-varsel] Oppdatering - Kritisk sårbarhet i Netlogon

24-09-2020

NCSC ønsker å minne om viktigheten av å adressere den kritiske protokollsårbarheten i Netlogon, CVE-2020-1472. Sårbarheten er også kjent som Zerologon og har CVSS-score 10.0. Dersom virksomheten fortsatt er sårbar for Zerologon må man umiddelbart iverksette risikoreduserende tiltak [1,2]. US Cybersecurity and Infrastructure Security Agency (CISA) gikk 18. september 2020 ut med et nøddirektiv som pålegger alle amerikanske føderale myndigheter å oppdatere sårbare systemer [3].


Microsoft meldte nylig at de ser aktiv utnyttelse av sårbarheten [4,5]. Dette er en forventet utvikling gitt alvorligheten og at PoC-kode har vært tilgjengelig en stund.Berørte virksomheter må sørge for at alle domenekontrollere har blitt oppdatert og det er viktig at det ikke henger igjen sårbare servere i virksomhetens infrastruktur. CISA/US-CERT har skrevet et PowerShell-script som kan benyttes til å validere at man har patchet [6]. PaloAlto anbefaler å benytte Secura sitt script [7] som ble omtalt i tidligere varsel (OBS! NCSC har ikke validert eller kontrollert aktuell kode).

 

Da CVE-2020-1472 er en protokollsråbarhet må virksomheten også undersøke om de er berørt av sårbarheten via andre tjenester eller spesielle konfigurasjoner, eksempelvis Samba [8,9].


NCSC følger situasjonen tett. Hvis man opplever forsøk på utnyttelse ber vi om at man tar kontakt med NCSC så fort som mulig. Det finnes flere signaturer i åpne kilder som kan detektere forsøk på utnyttelse [10,11].


NCSC-pulsen holdes på nivå 3 med bakgrunn i et komplekst sårbarhetsbilde.

 


Referanser:
[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
[2] https://unit42.paloaltonetworks.com/zerologon/
[3] https://cyber.dhs.gov/ed/20-04/
[4] https://twitter.com/MsftSecIntel/status/1308941504707063808
[5] https://www.computerweekly.com/news/252489539/Race-to-patch-as-Microsoft-confirms-Zerologon-attacks-in-the-wild
[6] https://github.com/cisagov/cyber.dhs.gov/tree/master/assets/report/ed-20-04_script
[7] https://github.com/SecuraBV/CVE-2020-1472
[8] https://www.samba.org/samba/security/CVE-2020-1472.html
[9] https://www.digi.no/artikler/ogsa-samba-servere-er-berort-av-zerologon-sarbarheten/499810
[10] https://rules.emergingthreats.net/open/suricata-5.0/rules/emerging-exploit.rules
[11] https://gist.github.com/silence-is-best/435ddb388f872b1a2e332b6239e9150b