Microsoft разъяснила порядок исправления уязвимости Zerologon

Компания Microsoft обновила рекомендации по исправлению уязвимости Zerologon ( CVE-2020-1472 ), уточнив порядок мер, которые пользователи могут реализовать для защиты уязвимых серверов Windows Server от атак, эксплуатирующих данную проблему.

Zerologon представляет собой уязвимость повышения привилегий, с помощью которой атакующий может имитировать любой компьютер в сети при аутентификации на контроллере домена, отключить функции безопасности Netlogon или изменить пароль в базе данных Active Directory контроллера домена.

Компания пересмотрела рекомендации после жалоб пользователей на нечеткость инструкций в изначальном предупреждении. Теперь обновленное предупреждение предлагает пошаговый процесс действий, которые администраторы могут предпринять для обеспечения защиты устройств. Меры включают:

1. Применение обновления безопасности от 11 августа 2020 года или обновлений, выпущенных позже.

2. Поиск устройств с уязвимым подключением через мониторинг журнала событий.

3. Устранение проблем, связанных с уязвимым подключением.

4. Включение режима принуждения для устранения уязвимости CVE-2020-1472.

На минувшей неделе Microsoft предупредила , что уязвимость Zerologon уже активно эксплуатируется в реальных атаках. В понедельник специалисты команды Cisco Talos также сообщили о всплеске атак с использованием CVE-2020-1472.