Zerologon-haavoittuvuus uhkaa Windows-palvelimia

Haavoittuvuus johtuu Netlogon Remote -protokollasta ja se on saanut kansainvälisen Common Vulnerability Scoring Systemin luokituksen 10/10. Microsoft on julkaissut haavoittuvuudelle korjauksen elokuun päivityksissä.

Hyökkääjä voi saada päivittämättömille Windows-palvelimille järjestelmävalvojan oikeudet olemassa olevilla hyväksikäyttömenetelmillä. Vika mahdollistaa hyökkääjälle tilanteen, jossa tämä voi omaksua valheellisesti minkä tahansa koneen identiteetin, myös toiminnan ohjauskoneen (domain controller). Valheellista identiteettiä käyttämällä hyökkääjä kykenee suorittamaan etäproseduurikutsuja muiden puolesta.

Zerologon-haavoittuvuus koskee Windows-palvelimia, joihin ei ole ajettu elokuussa julkaistuja päivityksiä. Päivityskään ei korjaa täydellisesti ongelmaa vaan estää hyökkäyksen toteuttamisen Windows-päätelaitteista. Sekaympäristöissä, joissa hyödynnetään useita eri käyttöjärjestelmiä (Esim. Linux tai Unix) tai elinkaarensa päättäneitä Windows-käyttöjärjestelmiä, tilanne on haasteellisempi.

Miten haavoittuvuuteen tulee reagoida?

Atean tietoturva-asiantuntijat suosittelevat Windows-palvelinten välitöntä päivittämistä haavoittuvuuden korjaamiseksi. Tämän lisäksi toimialueen ohjauskoneilta tulee estää kokonaan salaamattomien RPC-yhteyksien muodostaminen ryhmäkäytännöillä.

Ympäristöissä, joissa on käytössä myös muita kuin Windows-käyttöjärjestelmiä tai Microsoftin tuen piiristä poistuneita Windows-versioita, tulee lisäksi tehdä muutoksia käytäntöihin, joissa sallitaan erikseen määritetyille järjestelmille salaamattomien yhteyksien muodostaminen, mikäli ne eivät tue salattua yhteyttä. Aiheesta on lisätietoa Microsoftin tukisivustolla.

Asiantuntijamme auttavat haavoittuvuuksien hallinnassa

Onnistunut päivitystenhallinta sekä ryhmäkäytäntöjen muutos vaatii huolellista suunnittelua ja ymmärrystä kohdeympäristöstä, jotta muutos ei aiheuta häiriötä. Jos tarvitset apua, ota yhteyttä Atean yhteyshenkilöösi tai jätä yhteydenottopyyntö.