Tin tặc đang rà quét các máy chủ chưa vá lỗ hổng 'Zerologon'

16/06/2015
83
672 bài viết
Tin tặc đang rà quét các máy chủ chưa vá lỗ hổng 'Zerologon'
Những kẻ tấn công đang rà quét Internet và cố gắng khai thác lỗi leo thang đặc quyền ‘Zerologon’ trong Giao thức điều khiển từ xa Netlogon dành cho Bộ điều khiển domain của Microsoft. Lỗ hổng này có điểm CVSS là 10/10.

Cuối tuần vừa rồi, Kevin Beaumont, nhà nghiên cứu an ninh của Microsoft, lưu ý rằng ‘ai đó’ đã thực hiện hàng trăm nỗ lực đăng nhập khớp với chuỗi khai thác lỗ hổng Zerologon.

honeypot.jpg

Kẻ tấn công thậm chí đã reset thành công mật khẩu máy tính honeypot của bộ điều khiển domain của Beaumont.

‘BluePot’ của Beaumont là một máy chủ Active Directory với các cổng 135 và 445 dùng để nghe các kết nối và có sẵn các cổng gọi thủ tục từ xa.

Honeypot được cập nhật các bản vá an ninh tháng 7/2020 và được xây dựng trên công cụ quản lý sự cố bảo mật Azure Sentinel của Microsoft.

Microsoft giải quyết lỗ hổng bằng cách phát hành các bản vá trong Patch Tuesday tháng 8/2020 và thắt chặt bảo mật NRP vào tháng 2/2021 khi chế độ thực thi sẽ được đặt thành mặc định.

Phần mềm Samba có thể được sử dụng làm bộ điều khiển domain cho mạng Windows và cũng dễ bị tấn công bởi lỗ hổng CVE-2020-1472 Zerologon.

Samba phiên bản 4.8 trở lên chỉ dễ bị tấn công nếu có thông số "server schannel" được đặt thành "no" hoặc "auto"; tuy nhiên các phiên bản 4.7 trở xuống dễ bị tấn công trừ khi chúng có "server schannel = yes" trong cấu hình smb.conf và các nhà cung cấp tệp được khuyến cáo thêm cài đặt đó.

Theo ITnews
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
zerologon
Bên trên