Upozorňujeme na zranitelnost CVE-2020-1472 (též Zerologon), postihující Active Directory v systémech Windows Server 2008 a novějších. Ačkoliv zranitelnost vyžaduje k úspěšnému zneužití přístup do sítě s doménovým řadičem, byla na škále závažnosti CVSS3 ohodnocena 10.0 - kritická.

Zranitelnost umožňuje eskalaci oprávnění zneužitím chyby v kryptografickém systému použitého pro Netlogon Remote Protocol, kterou může útočník při autentizaci vůči doménovému řadiči podvrhnout identitu jakéhokoliv počítače v doméně, včetně samotného doménového řadiče. Jeho kompromitací tedy může útočník získat kontrolu nad celou doménou.

Dle Microsoftu je momentálně zranitelnost při útocích aktivně využívána. Zerologon byl také nově přidán do populárního nástroje na extrakci přihlašovacích údajů Mimikatz, což dále snižuje již tak nízkou obtížnost provedení útoku a zvyšuje riziko jejího zneužítí při průniku do sítě s neprivilegovaným účtem. Před zranitelností varuje též americké DHS: https://cyber.dhs.gov/ed/20-04/

Microsoft již v srpnu vydal bezpečnostní aktualizaci opravující tuto zranitelnost, všem správcům dotčených systémů důrazně doporučujeme její instalaci.

Zdroje:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
https://www.splunk.com/en_us/blog/security/detecting-cve-2020-1472-using-splunk-attack-range.html
https://www.synology.com/en-uk/security/advisory/Synology_SA_20_21
https://github.com/gentilkiwi/mimikatz/releases
https://success.trendmicro.com/solution/000270328
https://github.com/VoidSec/CVE-2020-1472