Microsoft добавила поддержку обнаружения использования Zerologon в Microsoft Defender for Identity, чтобы группы по обеспечению безопасности могли обнаруживать локальные атаки, пытающиеся использовать эту критическую уязвимость.
Microsoft Defender for Identity (ранее известный как Azure Advanced Threat Protection или Azure ATP) - это облачное решение безопасности, предназначенное для использования локальных сигналов Active Directory для обнаружения и анализа скомпрометированных удостоверений, расширенных угроз и злонамеренных действий внутренних нарушителей, нацеленных на зарегистрированную организацию. .
«Microsoft Defender for Identity может обнаружить эту уязвимость на раннем этапе», - сказал менеджер программы Microsoft Дэниел Наим. «Он охватывает как аспекты эксплуатации, так и проверки трафика канала Netlogon».
Предупреждения, отображаемые при обнаружении использования Zerologon или связанной с ним активности, позволят командам SecOps быстро получить информацию об устройстве или контроллере домена, стоящем за попытками атаки.
Предупреждения также будут содержать информацию, которая может помочь идентифицировать целевые утверждения и были ли атаки успешными.
«Наконец, клиенты, использующие Microsoft 365 Defende r, могут в полной мере воспользоваться мощью сигналов и предупреждений от Microsoft Defender for Identity в сочетании с поведенческими событиями и обнаружениями от Microsoft Defender for Endpoint», - добавил Наим.
«Эта скоординированная защита позволяет не только наблюдать попытки использования Netlogon по сетевым протоколам, но также видеть процессы устройства и файловую активность, связанные с этой эксплуатацией».
Оповещение об обнаружении Zerologon ( Microsoft )
Развертывание многоэтапного патча
Zerologon - критическая уязвимость, которая может быть использована злоумышленниками для повышения привилегий для подделки учетной записи контроллера домена, что позволяет им получить полный контроль над всем доменом путем кражи учетных данных домена, изменения пароля любого пользователя, а также выполнения произвольных команд.Microsoft все еще находится в процессе развертывания исправления для уязвимости Zerologon в рамках двухэтапного процесса, так как это может привести к тому, что некоторые из затронутых устройств могут столкнуться с различными проблемами аутентификации.
Поскольку первоначальная рекомендация относительно установки исправлений Zerologon была запутанной, Microsoft разъяснила, какие шаги должны предпринять администраторы для защиты устройств от атак.
План исправлений, изложенный Microsoft, требует, чтобы администраторы выполнили следующие шаги:
- ОБНОВИТЕ свои контроллеры домена с помощью обновления, выпущенного 11 августа 2020 г. или более поздней версии.
- УЗНАЙТЕ, какие устройства создают уязвимые соединения, отслеживая журналы событий.
- Устройства, не поддерживающие АДРЕС, устанавливают уязвимые соединения.
- ВКЛЮЧИТЕ режим принудительного применения для защиты от CVE-2020-1472 в вашей среде.
Продолжающиеся атаки на уязвимые серверы
Microsoft предупредила, что как поддерживаемые государством, так и финансово мотивированные злоумышленники активно используют системы, не защищенные от уязвимости ZeroLogon в конце октября и в сентябре .Оба раза компания призывала ИТ-администраторов применять обновления безопасности, выпущенные во вторник августа 2020 года, чтобы защитить свои сети от входящих атак, использующих общедоступные эксплойты ZeroLogon.
«Мы настоятельно рекомендуем всем, кто еще не установил обновление, сделать этот шаг сейчас. Клиентам необходимо как применить обновление, так и следовать исходным инструкциям, описанным в KB4557222, чтобы обеспечить полную защиту от этой уязвимости», - сказал вице-президент MSRC по техническим вопросам Аншал Гупта. сказал .
Поддерживаемая Ираном хакерская группа MuddyWater (также известная как SeedWorm и MERCURY) начала использовать уязвимость в атаках, начиная со второй половины сентября.
TA505 (также известная как Chimborazo), финансово мотивированная группа угроз, известная тем, что обеспечивает канал доставки вымогателя Clop на более поздних этапах своих атак, также была обнаружена Microsoft, использовавшей уязвимость ZeroLogon в прошлом месяце.
Китайские хакеры APT10 также активно злоупотребляют Zerologon, о чем свидетельствуют атаки на японские компании и дочерние компании, которые наблюдала команда Symantec Threat Hunter в начале этого месяца.
Сразу после первых сообщений об использовании ZeroLogon Агентство кибербезопасности и безопасности инфраструктуры США (CISA) потребовало от Федеральной гражданской исполнительной власти рассматривать весь процесс установки исправлений ZeroLogon как «немедленное и экстренное действие».
Перевод с английского - Google