Microsoft เตือนพบการโจมตีช่องโหว่ Zerologon แล้ว ผู้ใช้งานควรอัปเดตด่วน

Zerologon เป็นช่องโหว่ร้ายแรงระดับ 10/10 ในโปรโตคอล Netlogon ซึ่งถูกแพตช์ตั้งแต่สิงหาคมที่ผ่านมา และหลังจากหน่วยงานสำคัญต่างระดมแจ้งเตือนถึงความอันตราย วันนี้ Microsoft เองก็ประกาศอย่างทางการแล้วว่าพบการโจมตีจริงแล้ว จึงเตือนกันมาให้ผู้ดูแลระบบสำรวจตัวเองกันอีกครั้งครับ

Zerologon หรือ CVE-2020-1472 (ข่าวเก่าจาก TechTalkThai) เป็นช่องโหว่ร้ายแรงสูงสุดกับ Netlogon ที่ใช้พิสูจน์ตัวตนใน Domain Controller ซึ่งถ้าหากทำได้สำเร็จคนร้ายจะสามารถเข้ายึดเครื่อง Domain Controller ได้ ซึ่งทาง Microsoft ได้ออกแพตช์ (ยังไม่สมบูรณ์ 100%) มาในเดือนสิงหาคม 

ประเด็นคือกลางเดือนนี้มีการเปิดเผยรายละเอียดช่องโหว่จาก Secura BV หลังจากนั้นไม่กี่ชั่วโมงก็มีโค้ด PoC ผุดขึ้นมาหลายตัว ซึ่งผู้เชี่ยวชาญหลายฝ่ายเตือนว่าการใช้งานนั้นไม่ได้ยากอะไร และกินเวลาไม่นาน 

ฝั่งหน่วยงานความมั่นคงของสหรัฐฯ หรือ DHS ได้ออกมาเตือนให้หน่วยงานในสังกัดอุดแพตช์นี้เป็นการใหญ่ใน 3 วันนับแต่ประกาศ ขนาดว่าหากไม่ทำก็ออกจากเครือข่ายรัฐบาลไปเลย ในขณะที่ CISA ยังเผยว่าซอฟต์แวร์ Samba File-sharing เองก็มีช่องโหว่ที่ต้องอัปเดตเหมือนกัน ส่วน Microsoft แม้จะประกาศพบการโจมตีแต่ไม่ได้ลงรายละเอียดเพียงแต่แจก Hash ของไฟล์ที่พบในการโจมตีไว้ อย่างไรก็ดีองค์กรใดที่มี Domain Controller ควรจะต้องแพตช์ได้แล้วครับ

ที่มา : https://www.zdnet.com/article/microsoft-says-it-detected-active-attacks-leveraging-zerologon-vulnerability/