Microsoft: атаки на Windows через Zerologon не стихают

Татьяна Никитина 30 Октября 2020 - 16:11

Домашние пользователи

...

Злонамеренные попытки эксплуатации уязвимости в серверных Windows, известной как Zerologon, по-прежнему актуальны. Специалисты Microsoft по реагированию на ИБ-инциденты продолжают получать жалобы на текущие атаки, хотя и в меньшем объеме. Тем, кто еще не установил патч, настоятельно рекомендуется это сделать в кратчайшие сроки.

Уязвимость, известная как Zerologon (CVE-2020-1472), вызвана некорректной работой Windows-службы Netlogon. Использование бреши не требует авторизации и предполагает подключение по протоколу MS-NRPC к контроллеру домена (серверу с доступной для записи копией базы данных Active Directory). В случае успешной отработки эксплойта автор атаки сможет повысить свои привилегии до уровня администратора домена и запустить в сеть жертвы вредоносную программу — например, шифровальщика.

Опасный баг получил высшую оценку по 10-балльной шкале CVSS. Чтобы не вызвать проблем с аутентификацией некоторых затронутых устройств, разработчики решили закрыть уязвимость в два приема. Для начала они выпустили патч для всех поддерживаемых версий Windows Server — он включен в набор плановых апдейтов, вышедший в августе. Переход ко второму этапу — обновлению политик в домене — запланирован на I квартал будущего года.

«Мы настоятельно рекомендуем всем, кто еще не произвел обновление, сделать это незамедлительно, — пишут эксперты в профильном блоге Microsoft. — Чтобы обеспечить полную защиту от эксплойта, нужно не только установить апдейт, но также выполнить все инструкции, указанные в первоначальном варианте KB4557222».

В обновленной справке это руководство выглядит следующим образом:

Установить на контроллеры доменов обновление, выпущенное 11 августа 2020 года или позднее.
Выявить устройства, устанавливающие ненадежные соединения, посредством мониторинга журнала событий.
Привести эти устройства в соответствие требованиям безопасности.
Включить режим применения политик для защиты от атак через CVE-2020-1472 в масштабах всего окружения.

Рабочий эксплойт для Zerologon появился в арсенале злоумышленников в середине сентября. Спустя неделю в Microsoft зарегистрировали первые атаки с его использованием. К концу месяца число попыток эксплойта стало стремительно расти, и ИБ-эксперты забили тревогу. В октябре ситуация начала выравниваться: судя по новому сообщению Microsoft, жалоб стало меньше, хотя угроза пока сохраняет свою актуальность.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 12 Марта 2025 - 09:49

Windows Эксплойты Уязвимости программ Уязвимость нулевого дня Домашние пользователи Корпорации Microsoft

Microsoft закрыла 6 активно эксплуатируемых 0-day с мартовскими патчами

Microsoft выпустила набор мартовских обновлений, в котором разработчики закрыли 57 уязвимостей, включая шесть активно эксплуатируемых 0-day и одну уязвимость с общедоступным эксплойтом.

В этом обновлении Microsoft устранила:

23 проблемы повышения привилегий.
Три возможности обхода защитной функциональности.
23 бреши удалённого выполнения кода.
Четыре бага раскрытия информации.
Одну DoS-уязвимость.
Три возможности спуфинга.

Как уже отмечалось выше, в этом месяце Microsoft пропатчила шесть активно эксплуатируемых 0-day и одну уязвимость, технические данные которой раскрыты публично.

1. CVE-2025-24983 — повышение привилегий в подсистеме Windows Win32 Kernel.

Позволяет локальному атакующему получить права SYSTEM на целевом устройстве. Уязвимость связана с race condition.

2. CVE-2025-24984 — раскрытие информации в Windows NTFS.

Эксплуатируется при наличии физического доступа к устройству: атакующий вставляет вредоносный USB-накопитель, получая доступ к содержимому оперативной памяти.

3. CVE-2025-24985 — возможность удалённого выполнения кода в драйвере Windows Fast FAT.

Позволяет атакующему выполнить удалённый код из-за целочисленного переполнения в драйвере Windows Fast FAT. Злоумышленник может заставить пользователя подключить специально созданный VHD-образ, что приведёт к эксплуатации.

4. CVE-2025-24991 — также баг раскрытия информации в Windows NTFS.

Злоумышленник может прочитать части памяти с помощью модифицированного VHD-файла, если пользователь согласится его подключить.

5. CVE-2025-24993 — возможность удалённого выполнения кода в Windows NTFS.

Связана с переполнением буфера в NTFS. Позволяет атакующему выполнить произвольный код при монтировании вредоносного VHD-образа.

6. CVE-2025-26633 — обход защитной функциональности в Microsoft Management Console.

Позволяет обойти функции безопасности через вредоносный .msc-файл. Злоумышленник может отправить жертве файл по электронной почте или через мессенджер и обманом заставить открыть его.

Публично раскрытая уязвимость:

CVE-2025-26630 — удалённое выполнение кода в Microsoft Access.

Связана с ошибкой «use after free» в Microsoft Access. Злоумышленник отправляет специально созданный файл, который жертва должна открыть.

Затронутый компонент	CVE-идентификатор	CVE-наименованиеe	Степень опасности
.NET	CVE-2025-24043	WinDbg Remote Code Execution Vulnerability	Важная
ASP.NET Core & Visual Studio	CVE-2025-24070	ASP.NET Core and Visual Studio Elevation of Privilege Vulnerability	Важная
Azure Agent Installer	CVE-2025-21199	Azure Agent Installer for Backup and Site Recovery Elevation of Privilege Vulnerability	Важная
Azure Arc	CVE-2025-26627	Azure Arc Installer Elevation of Privilege Vulnerability	Важная
Azure CLI	CVE-2025-24049	Azure Command Line Integration (CLI) Elevation of Privilege Vulnerability	Важная
Azure PromptFlow	CVE-2025-24986	Azure Promptflow Remote Code Execution Vulnerability	Важная
Kernel Streaming WOW Thunk Service Driver	CVE-2025-24995	Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability	Важная
Microsoft Local Security Authority Server (lsasrv)	CVE-2025-24072	Microsoft Local Security Authority (LSA) Server Elevation of Privilege Vulnerability	Важная
Microsoft Management Console	CVE-2025-26633	Microsoft Management Console Security Feature Bypass Vulnerability	Важная
Microsoft Office	CVE-2025-24083	Microsoft Office Remote Code Execution Vulnerability	Важная
Microsoft Office	CVE-2025-26629	Microsoft Office Remote Code Execution Vulnerability	Важная
Microsoft Office	CVE-2025-24080	Microsoft Office Remote Code Execution Vulnerability	Важная
Microsoft Office	CVE-2025-24057	Microsoft Office Remote Code Execution Vulnerability	Критическая
Microsoft Office Access	CVE-2025-26630	Microsoft Access Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-24081	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-24082	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2025-24075	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Word	CVE-2025-24077	Microsoft Word Remote Code Execution Vulnerability	Важная
Microsoft Office Word	CVE-2025-24078	Microsoft Word Remote Code Execution Vulnerability	Важная
Microsoft Office Word	CVE-2025-24079	Microsoft Word Remote Code Execution Vulnerability	Важная
Microsoft Streaming Service	CVE-2025-24046	Kernel Streaming Service Driver Elevation of Privilege Vulnerability	Важная
Microsoft Streaming Service	CVE-2025-24067	Kernel Streaming Service Driver Elevation of Privilege Vulnerability	Важная
Microsoft Windows	CVE-2025-25008	Windows Server Elevation of Privilege Vulnerability	Важная
Microsoft Windows	CVE-2024-9157	Synaptics: CVE-2024-9157 Synaptics Service Binaries DLL Loading Vulnerability	Важная
Remote Desktop Client	CVE-2025-26645	Remote Desktop Client Remote Code Execution Vulnerability	Критическая
Role: DNS Server	CVE-2025-24064	Windows Domain Name Service Remote Code Execution Vulnerability	Критическая
Role: Windows Hyper-V	CVE-2025-24048	Windows Hyper-V Elevation of Privilege Vulnerability	Важная
Role: Windows Hyper-V	CVE-2025-24050	Windows Hyper-V Elevation of Privilege Vulnerability	Важная
Visual Studio	CVE-2025-24998	Visual Studio Elevation of Privilege Vulnerability	Важная
Visual Studio	CVE-2025-25003	Visual Studio Elevation of Privilege Vulnerability	Важная
Visual Studio Code	CVE-2025-26631	Visual Studio Code Elevation of Privilege Vulnerability	Важная
Windows Common Log File System Driver	CVE-2025-24059	Windows Common Log File System Driver Elevation of Privilege Vulnerability	Важная
Windows Cross Device Service	CVE-2025-24994	Microsoft Windows Cross Device Service Elevation of Privilege Vulnerability	Важная
Windows Cross Device Service	CVE-2025-24076	Microsoft Windows Cross Device Service Elevation of Privilege Vulnerability	Важная
Windows exFAT File System	CVE-2025-21180	Windows exFAT File System Remote Code Execution Vulnerability	Важная
Windows Fast FAT Driver	CVE-2025-24985	Windows Fast FAT File System Driver Remote Code Execution Vulnerability	Важная
Windows File Explorer	CVE-2025-24071	Microsoft Windows File Explorer Spoofing Vulnerability	Важная
Windows Kernel Memory	CVE-2025-24997	DirectX Graphics Kernel File Denial of Service Vulnerability	Важная
Windows Kernel-Mode Drivers	CVE-2025-24066	Kernel Streaming Service Driver Elevation of Privilege Vulnerability	Важная
Windows MapUrlToZone	CVE-2025-21247	MapUrlToZone Security Feature Bypass Vulnerability	Важная
Windows Mark of the Web (MOTW)	CVE-2025-24061	Windows Mark of the Web Security Feature Bypass Vulnerability	Важная
Windows NTFS	CVE-2025-24993	Windows NTFS Remote Code Execution Vulnerability	Важная
Windows NTFS	CVE-2025-24984	Windows NTFS Information Disclosure Vulnerability	Важная
Windows NTFS	CVE-2025-24992	Windows NTFS Information Disclosure Vulnerability	Важная
Windows NTFS	CVE-2025-24991	Windows NTFS Information Disclosure Vulnerability	Важная
Windows NTLM	CVE-2025-24996	NTLM Hash Disclosure Spoofing Vulnerability	Важная
Windows NTLM	CVE-2025-24054	NTLM Hash Disclosure Spoofing Vulnerability	Важная
Windows Remote Desktop Services	CVE-2025-24035	Windows Remote Desktop Services Remote Code Execution Vulnerability	Критическая
Windows Remote Desktop Services	CVE-2025-24045	Windows Remote Desktop Services Remote Code Execution Vulnerability	Критическая
Windows Routing and Remote Access Service (RRAS)	CVE-2025-24051	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Важная
Windows Subsystem for Linux	CVE-2025-24084	Windows Subsystem for Linux (WSL2) Kernel Remote Code Execution Vulnerability	Критическая
Windows Telephony Server	CVE-2025-24056	Windows Telephony Service Remote Code Execution Vulnerability	Важная
Windows USB Video Driver	CVE-2025-24988	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Важная
Windows USB Video Driver	CVE-2025-24987	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Важная
Windows USB Video Driver	CVE-2025-24055	Windows USB Video Class System Driver Information Disclosure Vulnerability	Важная
Windows Win32 Kernel Subsystem	CVE-2025-24044	Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability	Важная
Windows Win32 Kernel Subsystem	CVE-2025-24983	Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability	Важная

Microsoft: атаки на Windows через Zerologon не стихают

Читайте также