Feedback Zerologon cu privire la aplicația de patch-uri Microsoft

Câțiva dintre voi m-ați întrebat despre patch-ul lansat în august de Microsoft pentru vulnerabilitatea CVE-2020-1472 (Zerologon) în ceea ce privește protocolul de autentificare Netlogon. Ca o reamintire, mai multe POC-uri disponibile publicului permit exploatarea vulnerabilității [1], iar unii atacatori, precum cei din spatele ransomware-ului Ryuk, nu ezită să-l folosească și să compromită întregul IS și să cripteze cât mai multe date [2]. Aceste informații sunt reamintite într-un raport publicat la 30 noiembrie de CERT-FR al ANSSI [3].

În timp ce unii și-au luat timp să citească ghidul Microsoft pentru aplicarea acestui patch [4], unii ar fi putut să-l rateze așa cum mi s-a spus, așa că iată un pic de recuperare.

Este important să rețineți că Microsoft a ales să continue doi pasi:

• A actualizare pentru a forța utilizarea unui canal Netlogon securizat, publicat în lunaaugust 2020
• A activare forțată nativă utilizarea canalului securizat Netlogon, care va ajunge în patch-ul lunii Februarie 2021

Chiar dacă nu am reușit să exploatez vulnerabilitatea asupra controlerelor de domeniu care au primit patch-ul din august cu diferite POC-uri disponibile public, precum și scanerul încorporat în cea mai recentă versiune a castelului Ping, se recomandă insistent să forțăm utilizarea „unui Netlogon securizat canal.

---