Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

เผยช่องโหว่ร้ายแรง 10/10 ‘Zerologon’ ในแพตช์ Microsoft เดือนสิงหาคม แนะผู้ใช้อย่าพลาดอัปเดต

ในเดือนสิงหาคมที่ผ่านมามีแพตช์อยู่หนึ่งรายการที่วันนี้ Secura บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจากเนเธอแลนด์ได้เปิดเผยรายงานว่าเป็นช่องโหว่ยกระดับสิทธิ์ที่อันตรายสุดๆ ในโปรโตคอล Netlogon ซึ่งคนร้ายสามารถใช้เพื่อเข้ายึด AD Domain ในเครื่อง Domain Controller ได้ ที่เหมาะแก่การยกระดับการโจมตีให้คนร้ายแรนซัมแวร์ได้ด้วย

ช่องโหว่ CVE-2020-1472 หรือ Zerologon เป็นจุดอ่อนจากการ implement การเข้ารหัสในโปรโตคอล Netlogon ที่ใช้พิสูจน์ตัวตนใน Domain Controller ด้วยการเข้ารหัส AES-CFB8 โดยข้อจำกัดคือคนร้ายต้องสามารถเข้าถึงเครื่องข่ายใน Local มาได้ก่อน ไม่สามารถโจมตีจากทางไกลได้ แต่ถ้าหากทำได้สำเร็จจะสามารถปฏิบัติการโจมตีเพื่อหวังผลได้ดังนี้

  • ปลอมตัวตนเป็นเครื่องใดๆ ที่พยายามพิสูจน์ตัวตนกับ Domain Controller
  • ปิดฟีเจอร์ด้านความมั่นคงปลอดภัยในกระบวนการพิสูจน์ตัวตนของ Netlogon
  • เปลี่ยนรหัสผ่าน AD บน Domain Controller 

ไอเดียของชื่อ Zerologon คือการเติมอักขระ ‘0’ ในพารามิเตอร์ของการพิสูจน์ตัวตนกับ Netlogon ตามภาพด้านล่าง ทั้งนี้กระบวนการโจมตีใช้เวลาเพียงไม่กี่วินาทีเท่านั้น และแม้ว่านักวิจัยจะไม่ยอมเปิดเผยถึงโค้ดการใช้งานแต่ล่าสุดก็เริ่มมีโค้ดปล่อยออกมากันแล้วนะครับ ดังนั้นผู้ดูแลอย่าพลาดอัปเดตแพตช์นี้ด่วนเพราะอาจเป็นเครื่องมือให้กับคนปล่อยแรนซัมแวร์ได้เป็นอย่างดี

เครดิต : Secura

อย่างไรก็ดีแพตช์ที่ทาง Microsoft ปล่อยออกมานั้นเป็นเพียงขั้นแรกเท่านั้น ซึ่งตัวสมบูรณ์ต้องรอกันถึงกุมภาพันธ์ปีหน้าเลยทีเดียว ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่นี่

ที่มา : https://www.zdnet.com/article/zerologon-attack-lets-hackers-take-over-enterprise-networks/ และ https://blog.rapid7.com/2020/09/14/cve-2020-1472-zerologon-critical-privilege-escalation/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] เอไอเอส 30 ปี พุ่งทะยานสู่อนาคตที่แข็งแกร่ง

เอไอเอส 30 ปี พุ่งทะยานสู่อนาคตที่แข็งแกร่ง พร้อมพลิกโฉมคุณภาพชีวิต ความบันเทิง และเศรษฐกิจไทย ด้วยขุมพลัง 5G ที่ทรงประสิทธิภาพและครอบคลุมทั่วประเทศ พาคนไทยกระโดดก้าวข้ามทุกขีดจำกัด พร้อมจัดเต็มสิทธิพิเศษขอบคุณลูกค้าตลอดเดือนตุลา

HPE จัดโปรโมชัน Microsoft AMD Pilot Program ใช้ HPE + AMD + Windows Server 2019 ได้ในราคาคุ้มค่า

เป็นที่รู้กันดีว่าหน่วยประมวลผลอย่าง AMD EPYC 7002 Series Processor นั้นถือว่ามีประสิทธิภาพที่สูง และมีราคาที่คุ้มค่าเป็นอย่างมาก จากการที่มีปริมาณ Core มหาศาลต่อ CPU และช่วยให้การใช้ Software สำหรับธุรกิจองค์กรที่คิดค่า License ตามจำนวน CPU นั้นมีราคาที่ถูกลงอย่างมหาศาลสำหรับระบบที่มีขนาดใหญ่ HPE ได้เล็งเห็นถึงประโยชน์ที่จะมีต่อวงการ IT ทั่วโลกในประเด็นนี้ จึงได้จับมือกับ Microsoft และ AMD จัดโปรโมชันพิเศษ “Microsoft AMD Pilot Program” ที่จะช่วยให้การใช้งาน Microsoft Windows Server 2019 บน HPE ProLiant Gen10 / Gen10 Plus Server ที่ใช้ AMD EPYC 7002 Series Processor ร่วมกันนั้น มีราคาที่ถูก คุ้มค่า และมีประสิทธิภาพที่สูงขึ้นไปในเวลาเดียวกัน