Как защититься от Zerologon и ей подобных уязвимостей

Не все угрозы корпоративной инфраструктуре могут быть остановлены защитой рабочих станций.

Американское агентство по кибербезопасности и безопасности инфраструктуры (DHS CISA) крайне редко выдает экстренные предписания ликвидировать конкретные уязвимости. Однако в сентябре прошлого года оно издало предписание правительственным учреждениям, использующим в своих сетях Microsoft Windows Active Directory, немедленно установить патч на все контроллеры домена. Речь шла об уязвимости CVE-2020-1472 в протоколе Netlogon, получившей название Zerologon (мы уже писали о ней).

Десять из десяти по шкале опасности

Уязвимость Zerologon связана с использованием ненадежного криптографического алгоритма в механизме аутентификации Netlogon. Эта уязвимость позволяет злоумышленнику, которому удалось подключить свой компьютер к корпоративной сети или как-то заразить одну из машин, атаковать контроллер домена и в итоге захватить контроль над ним.

Уязвимость получила максимальную оценку в 10 баллов по шкале CVSSv3. Microsoft выпустила патч еще в августе, но всеобщее внимание к Zerologon привлекло подробное исследование, опубликованное кибербезопасниками из голландской компании Secura, с подробными объяснениями того, как Zerologon может быть проэксплуатирован. В считанные часы после выхода этого документа различные исследователи начали публиковать свои доказательства концепций (PoC). Через несколько дней на сайте Github уже можно было найти как минимум четыре примера открытого исходного кода, который демонстрировал, как эту уязвимость можно применить на практике.

Zerologon в реальных атаках

Разумеется, публично доступные PoC привлекли внимание не только специалистов по безопасности, но и злоумышленников, которым осталось только скопировать и вставить код в свое вредоносное ПО. Например, в начале октября Microsoft зафиксировала попытки атак, эксплуатирующих Zerologon, со стороны группировки TA505. Злоумышленники замаскировали вредоносы под обновления программного обеспечения и скомпилировали на зараженных компьютерах инструменты для атаки, позволявшие использовать эту уязвимость.

Другой группировке, стоящей за шифровальщиком-вымогателем Ryuk, благодаря Zerologon удалось заразить всю локальную сеть компании всего за пять часов. Они отправили сотруднику стандартное фишинговое письмо, дождались, пока он кликнет на ссылку и заразит свой компьютер, а затем использовали Zerologon для горизонтального распространения по сети. В результате они распространили свой исполняемый файл программы-вымогателя на все серверы и рабочие станции

Чем опасен Zerologon

Казалось бы, для эксплуатации Zerologon необходимо атаковать контроллер домена изнутри локальной сети. Но по факту это давно не является непреодолимым препятствием для злоумышленников — у них есть множество методов, позволяющих захватить компьютер в сети жертвы. Это и фишинг, и атака через цепочку поставок, и даже использование оставленных без присмотра сетевых розеток в зоне, куда имеют доступ посетители офиса. Дополнительную опасность представляют удаленные подключения (а ими сейчас пользуются практически все компании), особенно если сотрудники имеют право подключаться к корпоративным ресурсам с собственных устройств.

Главная проблема с Zerologon (и иными гипотетическими уязвимостями такого рода) заключается в том, что их эксплуатация выглядит как обычный обмен данными компьютера в сети с контроллером домена; подозрение может вызвать разве что нехарактерная интенсивность этого обмена. Если компания полагается исключительно на защитные решения на конечных устройствах, то шансы выявления такой атаки невелики.

Взять на себя отлов аномалий такого рода могут специализированные сервисы. Такие, например, как Kaspersky Managed Detection and Response. Он использует подход проактивного обнаружения угроз и обеспечивает в том числе и первичное реагирование на инциденты безопасности. Фактически это внешний центр по обеспечению безопасности с доскональным знанием методов работы киберпреступников, обеспечивающий оперативную реакцию на все новые угрозы.

У решения есть два уровня — полностью автоматический и контролируемый аналитиками. Но как только были опубликованы подробности о Zerologon, эксперты SOC «Лаборатории Касперского» разработали и внедрили отслеживание попыток эксплуатации этой уязвимости в рамках сервиса MDR, так что и полностью автоматизированный вариант Kaspersky Managed Detection and Response получил возможность бороться с этой угрозой.

Kaspersky Managed Detection and Response является частью Kaspersky Optimum Security.  Узнать о решении больше можно на странице Kaspersky MDR.

Советы