Microsoft varnar för att sårbarheten Zerologon utnyttjas aktivt

Permalänk
Cyberman

Microsoft varnar för att sårbarheten Zerologon utnyttjas aktivt

Den nyligen upptäckta sårbarheten utnyttjas redan aktivt av illasinnade varnar Microsoft, och uppmanar till systemuppdateringar.

Läs hela artikeln här

Permalänk
Medlem

Kinda sus att Amerikanska myndigheter försöker pusha uppdateringen...

Permalänk
Medlem
Skrivet av Moton:

Kinda sus att Amerikanska myndigheter försöker pusha uppdateringen...

Främmande makt har nu klurat ut hur amerikanerna hackar sig in och använder det själva mot amerikanarna

Permalänk
Entusiast

Vad är Zerologon? Kanske borde ha haft med det i artikeln?
(duckduckgo får vara min vän denna gång)

edit nevermind, trodde zerologon var en ms tjänst som i sin tur utnyttjades. När explots namn börjar likna vanliga produkters och tjänsters namn (typ single sign on)

Permalänk
Medlem
Skrivet av Moton:

Kinda sus att Amerikanska myndigheter försöker pusha uppdateringen...

Såklart, man måste ju installera sårbarheten, pushar dom den går det ju fortare att smitta ner, menar installera den

Skrivet av HappyPie:

Vad är Zerologon? Kanske borde ha haft med det i artikeln?
(duckduckgo får vara min vän denna gång)

edit nevermind, trodde zerologon var en ms tjänst som i sin tur utnyttjades. När explots namn börjar likna vanliga produkters och tjänsters namn (typ single sign on)

Har också funderat på detta, vad får dom alla namn ifrån? Eller är det nnamnbrickorna när nycklarna för "storebror ser dig" hittas?

Permalänk
Lyxfällan 🎮
Skrivet av HappyPie:

Vad är Zerologon? Kanske borde ha haft med det i artikeln?
(duckduckgo får vara min vän denna gång)

edit nevermind, trodde zerologon var en ms tjänst som i sin tur utnyttjades. När explots namn börjar likna vanliga produkters och tjänsters namn (typ single sign on)

En kan ju tycka att det beskrivs i första stycket

Permalänk
Medlem
Skrivet av OldComputer:

Har också funderat på detta, vad får dom alla namn ifrån? Eller är det nnamnbrickorna när nycklarna för "storebror ser dig" hittas?

Det här namnet är ju hur logiskt som helst.
Zero - Log - On
Dvs, krävs ingen inloggning med ett konto som finns i systemet

Permalänk
Medlem

Den är ju inte så trevlig och missen, om det nu är en miss, liknar något av ett praktfiasko så man kan ju inte utesluta att det potentiellt sett kan vara medvetet.

/foliehatt

Originalartikel:
https://www.secura.com/blog/zero-logon
https://www.secura.com/pathtoimg.php?id=2055

Dykning: (Finns något tool man kan ladda ner på sidan också som man kan kolla om ens system är sårbart, använd på egen risk)
https://www.cynet.com/zerologon/

Versioner av Netlogon Remote Protocol som är graderade för sårbarhet.
https://docs.microsoft.com/en-us/openspecs/windows_protocols/...

Permalänk
Entusiast
Skrivet av loevet:

En kan ju tycka att det beskrivs i första stycket

jo men förvirringen hos mig var att jag läste zerologon som en MS produkt då de liknar vanliga produktnamn

Permalänk
Medlem
Skrivet av krigelkorren:

Den är ju inte så trevlig och missen, om det nu är en miss, liknar något av ett praktfiasko så man kan ju inte utesluta att det potentiellt sett kan vara medvetet.

/foliehatt

Originalartikel:
https://www.secura.com/blog/zero-logon
https://www.secura.com/pathtoimg.php?id=2055

Dykning: (Finns något tool man kan ladda ner på sidan också som man kan kolla om ens system är sårbart, använd på egen risk)
https://www.cynet.com/zerologon/

Versioner av Netlogon Remote Protocol som är graderade för sårbarhet.
https://docs.microsoft.com/en-us/openspecs/windows_protocols/...

Jag kan ju tycka att om man nu kör active directory så ska man väl i första hand bara installera windowsuppdateringarna som vanligt.
Sedan kan man väl fundera på om man vill befatta sig med något testverktyg...

Permalänk
Lyxfällan 🎮

@HappyPie: Ah, se där! Då är jag med på noterna

Permalänk
Medlem

Jag reagerade mest på att offentlig verksamhet måste få en uppmaning för att installera senaste säkerhetsuppdateringarna. Tog bara för givet att det åtminstone var ett minimikrav... Förstår att cyberkriminalitet ökar när det är så lätt.

Permalänk
Medlem
Skrivet av talonmas:

Jag reagerade mest på att offentlig verksamhet måste få en uppmaning för att installera senaste säkerhetsuppdateringarna. Tog bara för givet att det åtminstone var ett minimikrav... Förstår att cyberkriminalitet ökar när det är så lätt.

Jag kan tänka mig att såna verksamheter helst till testa uppdateringarna innan de rullar ut dem till alla, så jag ser det mer som en uppmaning att skynda på den processen och prioritera denna uppdatering.

Permalänk
Medlem
Skrivet av perost:

Jag kan tänka mig att såna verksamheter helst till testa uppdateringarna innan de rullar ut dem till alla, så jag ser det mer som en uppmaning att skynda på den processen och prioritera denna uppdatering.

Problemet med kritiska säkerhetsuppdateringar är att man gärna inte vill ödsla tid på att testa uppdateringen. "Oj, nu uppmärksammas en säkerhetslucka som kan göra i princip vem som helst till domain admin busenkelt! ... låt oss ta en månad att testa detta i vår testmiljö först"

Tror snarare att man förbereder för en rollback om det visar sig att uppdateringen orsakar problem, men att man slänger på uppdateringen så fort man bara kan.

Permalänk
Medlem
Skrivet av ackwell:

Problemet med kritiska säkerhetsuppdateringar är att man gärna inte vill ödsla tid på att testa uppdateringen. "Oj, nu uppmärksammas en säkerhetslucka som kan göra i princip vem som helst till domain admin busenkelt! ... låt oss ta en månad att testa detta i vår testmiljö först"

Tror snarare att man förbereder för en rollback om det visar sig att uppdateringen orsakar problem, men att man slänger på uppdateringen så fort man bara kan.

Har man ett kritiskt system står man inför ett val. Att patcha med risken att något slutar fungera med uppdateringen. Eller att inte patcha och vara öppen för sårbarheten. Frågan är vilken risk som är störst.

I detta fallet gäller det bara domänkontrollanterna, där man som större företag har många och kan offra att testa på någon, för att snabbare att gå vidare och ta alla. Jämfört med att skicka ut en patch till klienterna utan att testa.

Permalänk
Medlem

För er andra som jobbar med IT vill jag varna er att säkerhetsupdateringen från augusti ev inte duger. Antingen det, eller så började attackerna utnyttjas i det vilda redan innan patcharna släpptes.

Iaf om anvisningarna för detection på denna länk stämmer, så att säga:
https://www.logpoint.com/en/blog/detecting-zerologon-vulnerab...

Vid upptäckt kan det vara värt att backupa så mycket konfig som möjligt från domänkontrollanten (även om man bör återskapa manuellt) med bortkopplat internet. Om den inte redan slagits ut kan den mycket väl göra det efter omstart (tex efter nästa windowsuppdatering).

Permalänk
Medlem

Kan vara en extra ingång som är bra att ha men glömts bort av vissa.
Förstår att man är rädd för kineserna, de skulle kunna mista alla extra ingångar. Det skulle kunna bli omöjligt att hämta information från alla användare.

Tror inte det finns någon produkt som har så många säkerhetsbrister som aldrig tar slut som Windows.

Permalänk
Medlem
Skrivet av abki:

Kan vara en extra ingång som är bra att ha men glömts bort av vissa.
Förstår att man är rädd för kineserna, de skulle kunna mista alla extra ingångar. Det skulle kunna bli omöjligt att hämta information från alla användare.

Tror inte det finns någon produkt som har så många säkerhetsbrister som aldrig tar slut som Windows.

jo fast det är världens mest använda OS nu också.. så theres that. ju mer folk använder, desto mer människor som hittar ingångar. detta är bara human nature.

Permalänk
Medlem
Skrivet av Gtoxed:

jo fast det är världens mest använda OS nu också.. så theres that. ju mer folk använder, desto mer människor som hittar ingångar. detta är bara human nature.

Börjar förstå varför USA försvarar sina saker. Det verkar vara en guldgruva för dom.
Vi i övriga världen skulle säkerligen tjäna storkovan på att nobba dom helt efter ett tag.

Permalänk
Medlem
Skrivet av SpeedRebirth:

Det här namnet är ju hur logiskt som helst.
Zero - Log - On
Dvs, krävs ingen inloggning med ett konto som finns i systemet

Nope, inte därför

” It’s called zerologon due to the flaw in the logon process where the initialization vector (IV) is set to all zeros all the time while an Initialization Vector (IV) should always be a random number.”

Permalänk
Medlem
Skrivet av talonmas:

Jag reagerade mest på att offentlig verksamhet måste få en uppmaning för att installera senaste säkerhetsuppdateringarna. Tog bara för givet att det åtminstone var ett minimikrav... Förstår att cyberkriminalitet ökar när det är så lätt.

"ökar när det är så lätt.", Lätt och lätt, du måste ha tillgång till systemet också.

Permalänk
Medlem
Skrivet av Palme_570:

"ökar när det är så lätt.", Lätt och lätt, du måste ha tillgång till systemet också.

Vilket väl också lär förenklas av en organisation som inte patchar sina system...

(Utöver då möjligheten att någon som faktiskt ska ha tillgång till deras nätverk avsiktligt gör dumheter...)

Permalänk
Medlem
Skrivet av evil penguin:

Vilket väl också lär förenklas av en organisation som inte patchar sina system...

(Utöver då möjligheten att någon som faktiskt ska ha tillgång till deras nätverk avsiktligt gör dumheter...)

Sure men det är främst system som frontar internet, system bakombrandväggar vilket är de allra flesta kommer du inte åt oavsett säkerhetshål eller inte, och att chansen att någon på insidan har kunskapen & intentionen att vilja illa är minimal. Förutom för ett fåtal företag...

Men visst säkerheten är undermålig på väldigt många ställen trots att det finns väldigt enkla medel att skydda utan överdrivna kostnader..

Permalänk
Medlem
Skrivet av evil penguin:

Jag kan ju tycka att om man nu kör active directory så ska man väl i första hand bara installera windowsuppdateringarna som vanligt.
Sedan kan man väl fundera på om man vill befatta sig med något testverktyg...

Jag är helt för att installera patchar, förutsatt att de finns och faktiskt råder bot på problemen.
Just denna sårbarhet verkar ju ha framträtt till och från under en ganska lång period.
Annars kanske det handlar mer om att försöka minska attackytan (förutsatt att man känner till problemet/sårbarheten) och i västa fall skärma av systemen för att hålla dem någorlunda säkra.
Tyvärr är ju inte "som vanligt" applicerbart överallt, ej heller efterlevs det -även om det borde vara högsta prioritet.

Kvarstår gör ju t.ex. system som kanske inte är uppkopplade, ej managerade, eller hanterar andra känsliga system, alt. de system som utsätts för ren inkompetens eller pirat-versioner/olicensierade.

En sårbarhet som denna kan väl även tänkas nyttjas av ett traditionellt virus eller worm och därmed lever loppan även på ej uppkopplade system, om de kommer i kontakt med dem via ex. USB/Optiskt media.

Sårbarheten är allvarlig men sannolikheten för att någon lyckas attackera systemet bedöms kanske vara låg, dock beroende på vilken version av protokollet som körs, kan det vara det som avgör skillnaden i det här fallet.
Det vill till att organisationer och företag tar sitt ansvar och ser till att patcha sina system nu och inte sen när attacker blir ett faktum.

Ett exempel: I USA körde de ju t.ex. röstningsmaskiner med RDP-uppkoppling och någon gammal opatchad Windows version fastän det sades att de inte var uppkopplade... inte så smidigt.

https://www.nbcnews.com/politics/elections/online-vulnerable-...