2020-09-18 - ZeroLogon

Alvarlegur veikleiki er til staðar í Windows netþjónum (Windows Server) sem kallaður hefur verið ZeroLogon (CVE-2020-1472). Hefur hann fengið CVSS grunneinkunina (Base Score) 10.0 CRITICAL, en CVSS er notað til að leggja tölulegt mat á alvarleika veikleika. Nánar má t.d. lesa um veikleikann í skýrslu Secura.

Veikleikinn er til staðar í Windows netþjónum (Windows Server). Allar útgáfur sem ekki hafa verið uppfærðar með öryggisviðbót frá ágúst 2020 eru veikar fyrir. Árásin gerir óprúttnum aðila kleyft að taka yfir óðalsstjóra (Domain Congroller) kerfis og getur því haft víðtæk og alvarleg áhrif á netkerfi í heild.

Árás byggir á veikleika í Netlogon samskiptastaðlinum (protocol). Óprúttinn aðili getur falsað auðkenningartóka (authentication token) sem gerir kleyft að endursetja lykilorð á óðalsstjóranum. Með því er hægt að taka stjórn á honum og komast yfir aðgang stjórnanda (administrator). Þar með er hægt að ná stjórn á öllu netkerfi aðila.

Veikleikinn var lagfærður í öryggisuppfærslu sem var hluti af uppfærslupakka Microsoft í ágúst 2020. Secura hefur gefið út tól til að kanna hvort óðalsstjóri er veikur fyrir ZeroLogin.

Snemma var fullyrt að virkur árásarkóði væri fáanlegur og einnig hefur slíkur kóði verið birtur opinberlega. Alvarleiki veikleikans og áhættan sem hann veldur er slík að DHS í Bandaríkjunum hefur fyrirskipað uppfærslu kerfa opinberra stofnana til að fyrirbyggja nýtingu veikleikans - sjá nánar ED 20-04 frá DHS. Þann 24. september kom tilkynning frá Microsoft um að veikleikinn væri í virkri notkun hjá óprúttnum aðilum.

Þar sem um er að ræða alvarlegan veikleika sem er að því virðist í virkri notkun óprúttinna aðila er brýnt að uppfærslur séu framkvæmdar sem allra fyrst.

Síðast uppfært: 25.9.2020

 

Tilvísanir