Эксперты компании Secura B.V. обнародовали информацию об уязвимости повышения привилегий в Netlogon (CVE-2020-1472), которая может использоваться злоумышленниками для перехвата управления серверами Windows Server, работающими в качестве контроллера домена в корпоративной сети. Уязвимость CVE-2020-1472, получившая название ZeroLogon, получила максимальную оценку 10 баллов по классификации CVSSv3.

По информации специалистов Secura B.V., уязвимость ZeroLogon, связана с использованием ненадежного криптографического алгоритма в механизме аутентификации Netlogon. С ее помощью атакующий может имитировать любой компьютер в сети при аутентификации на контроллере домена, отключить функции безопасности Netlogon или изменить пароль в базе данных Active Directory контроллера домена.

Суть атаки сводится к добавлению нулей в определенные параметры аутентификации Netlogon. Вся атака занимает не более трех секунд, но она имеет ряд ограничений. В частности, данный метод работает только в том случае, если у злоумышленника есть доступ к локальной сети компании.

Компания Microsoft в августе выпустила предварительный патч, блокирующий возможность эксплуатации ZeroLogon. Эксперты по информационной безопасности настоятельно рекомендуют установить патч, блокирующий возможность эксплуатации ZeroLogon, на сервера под управление ОС Microsoft Windows Server. Выпуск окончательной версии исправления запланировано Microsoft на 1 квартал 2021 года.