Dwa dni temu pisałem o alarmie CISA, dotyczącym podatności w Windows Server. Dzisiaj Bitdefender uspokaja - jest na nią sposób.
Sierpniowa aktualizacja systemów Windows pozwoliła na likwidację wielu podatności, w tym niezwykle niebezpiecznej CVE-2020-1472. Stanowi ona zagrożenie przede wszystkim dla firm, których sieci oparte są na kontrolerach domen z systemem Windows. Przypomnę, że gdy napastnik wykorzysta tę podatność, zyskuje dostęp do kontrolerów domeny Active Directory, gdzie może uzyskać prawa jej administratora. Podatność zwana jest także Zerologon i występuje na wszystkich wydaniach Windows Server od edycji 2008. Skąd taka nazwa? Otóż uzyskanie kontroli nad Active Directory odbywa się przy użyciu protokołu Netlogon Remote Procedure Call (MS-NRPC). Odpowiada on za autoryzację maszyn i użytkowników w sieciach opartych na domenach. Umożliwia również aktualizowanie haseł.
Dobrze wykorzystana podatność umożliwia praktycznie nieograniczone możliwości w zakresie penetracji sieci oraz jej modyfikacji, jak dodawanie nowych maszyn. Atak trwa zaledwie kilka sekund - jednak co istotne, to fakt, że napastnik nie może przejmować serwerów Windows znajdujących się poza siecią. Po sierpniowej aktualizacji Microsoft zapowiedział, że bardziej kompletna pojawi się dopiero w lutym 2021 roku. Jednak Bitdefender już dzisiaj oferuje warstwę bezpieczeństwa Network Attack Defense. Ma ona za zadanie wykrywać i zapobiegać atakom wykorzystującym luki w sieci, a wspiera ją silnik HyperDetect, który wykorzystuje modele uczenia maszynowego, silną heurystykę i wykrywanie podejrzanych. Mamy także funkcję „Inspektor Procesów”, działajcą w trybie zerowego zaufania, stale monitorujący wszystkie procesy uruchomione w systemie operacyjnym. Jeśli nie masz zaufania do poprzedniej poprawki Microsoftu, może warto spróbować tych rozwiązań?
Zobacz: CISA ostrzega: Windows Server ma krytyczną podatność!
Źródło zdjęć: Andrea Piacquadio/Pexels
Źródło tekstu: Bitdefender
