Tietoturva Nyt!
Microsoft korjasi erittäin kriittisen Zerologon -haavoittuvuuden (CVE-2020-1472) elokuun 2020 turvallisuuspäivityksien yhteydessä. Reilu kuukausi myöhemmin haavoittuvuuden hyväksikäyttömenetelmä tuli julkiseksi ja sen seurauksena useita hyökkäystyökaluja on julkaistu haavoittuvuuden hyväksikäyttöä varten. Haavoittuvuuden hyväksikäytöstä on nyt tullut ensimmäisiä havaintoja ja hyväksikäyttöyritykset tulevat hyvin todennäköisesti yleistymään.
Haavoittuvuuden hyväksikäyttö on helppoa ja sitä hyödynnetään jo aktiivisesti
Zerologon haavoittuvuuden hyväksikäyttö on melko yksinkertaista ja sitä hyödyntämällä Windows-ympäristön haltuunotto voidaan tehdä useammallakin eri menetelmällä. Toimialueen ohjauspalvelimen (Domain Controller) täydellinen haltuun ottaminen onnistuu hyvin nopeasti esimerkiksi kaappaamalla ohjauspalvelimen identiteetti ja sen avulla saamalla toimialueen ylläpitäjän oikeudet (Domain Admin).
On hyvin oletettavaa, että kyseiset hyökkäysmenetelmät ovat jo nyt aktiivisesti useiden eri rikollisten toimijoiden käytössä. Esimerkiksi kiristyshaittaohjelmahyökkäyksissä tämä haavoittuvuus mahdollistaa hyökkääjälle hyvin nopean ympäristön haltuunoton ja tietojen salaamisen. Hyökkääjä pyrkii usein saamaan uhrin Windows-toimialueen ohjauspalvelimet aluksi hallintaansa, jotta saa tehokkaasti levitettyä kiristyshaittaohjelman kaikkialle ympäristöön
Microsoftin mukaan haavoittuvuuden hyväksikäyttöä on jo näkynyt ja he julkaisivat myös muutamia tunnistetietoja havaituista hyökkääjien käyttämistä työkalauista Twitter-tilillään:
https://twitter.com/MsftSecIntel/status/1308941504707063808 (Ulkoinen linkki)
Päivitä palvelimet heti, jos et ole vielä päivittänyt
Haavoittuvuuden hyväksikäytöltä voi suojautua täysin vain varmistamalla, että kaikkien organisaation Windows-toimialueiden kaikki ohjauspalvelimet ovat päivitetty turvalliseen ohjelmistoversioon. Yhdenkin päivittämättömän palvelimen kautta on mahdollista toteuttaa hyökkäys joka vaarantaa koko ympäristön.
Yhdysvaltojen liittovaltion tietoturvaviranomainen CISA julkaisi perjantaina 18.9.2020 kiireellisen määräyksen koskien Zerologon haavoittuvuutta ja edellytti liittovaltion osastoja ja virastoja korjaamaan kaikki Zerologon hyökkäykselle alttiit Windows-palvelimet viipymättä maanantaihin 21.09.2020 mennessä.
https://www.cisa.gov/blog/2020/09/18/windows-server-vulnerability-requires-immediate-attention (Ulkoinen linkki)
Kyberturvallisuuskeskus suosittelee hyvin voimakkaasti päivityksen asentamista välittömästi, mikäli sitä ei vielä ole asennettu. Lisäksi olisi myös tärkeää selvittää, onko ympäristössä havaittavissa merkkejä mahdollisesta haavoittuvuuden hyväksikäytöstä.
Tällä hetkellä Kyberturvallisuuskeskuksella ei ole tiedossa haavoittuvuuden hyväksikäyttöä Suomessa.
Lisätietoja
- Cynet-tietoturvayhtiö: Julkaisussa työkaluja ja ohjeita Zerologon haavoittuvuuden hyväksikäytön havaitsemiseen (ulkoinen linkki) (Ulkoinen linkki)
- Kyberturvallisuuskeskus: Hyökkäystyökaluja julkaistu kriittiselle Zerologon-haavoittuvuudelle (Ulkoinen linkki)
- Microsoft: How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 (ulkoinen) (Ulkoinen linkki)
- The Register: As you're scrambling to patch the scary ZeroLogon hole in Windows Server, don't forget Samba – it's also affected (ulkoinen) (Ulkoinen linkki)
29.9.2020 Päivitetty linkkien ulkoasua.