Zerologon och värdet av virtuell patchning

Mycket har skrivits om Zerologon (CVE-2020-1472) den senaste tiden. Det handlar om en sårbarhet som har tilldelats den högsta CVSS-klassningen och som i kort gör det möjligt för en oautentiserad användare att utnyttja en svaghet i algoritmen som används i Netlogon-protokollet i Windows Server och därigenom få administratörsrättigheter på domänkontrollanten. (Här är det viktigt att poängtera att en angripare måste kunna upprätta en session med domänkontrollanten och utnyttjandet av denna sårbarhet kräver således att det finns en kommunikationskanal mellan angripare och domänkontrollant. Domänkontrollanten bör av denna anledning inte exponeras mot internet.)

Microsoft bekräftade den 24 september att sårbarheten utnyttjas aktivt och uppmanar användare som inte har uppdaterat sina system att göra det så snart som möjligt:

Microsoft adresserar Zerologon gradvis, i två steg. Den första säkerhetsuppdateringen finns tillgänglig sedan en månad tillbaka, och i fas två, som är planerad till början av 2021, släpps den andra uppdateringen.

Vad kan man då göra för att skydda sig mot Zerologon? Som alltid, finns det en säkerhetsuppdatering tillgänglig bör den installeras. Det går inte nog att understryka värdet av att hålla sina system uppdaterade. Vi vet dock att detta inte är det lättaste, bland annat ska uppdateringar testas och tidsfönster anges. Detta görs inte i en handvändning, särskilt inte när det är domänkontrollanten som är det drabbade systemet. Här kan vi på Trend Micro hjälpa till med virtuell patchning (av eng. virtual patching eller vulnerability shielding). Virtuell patchning är ett skydd som förhindrar utnyttjandet av sårbarheter i system som inte har uppdaterats, så att man kan uppdatera på ett sätt som fungerar för den egna verksamheten. Lyckligtvis är kunder till oss som har Workload Security, Deep Security, Apex One och TippingPoint skyddade mot Zerologon, och med Deep Discovery Inspector kan försök till unyttjande av denna sårbarhet upptäckas.

Kontakta mig eller någon av mina kollegor om du har några frågor eller vill ha hjälp med att säkerställa att ni är skyddade mot Zerologon. Vi hjälper gärna till.