Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Exploit na podatność Zerologon dostępny jest w najnowszym Mimikatz. Sieci windowsowe zaczynają płakać za 3…2…1…
O bugu pisaliśmy niedawno (zobaczycie go też w działaniu podczas naszego pokazu włamania do jednej z firm…). Mamy tu połączenie aż kilku niefajnych rzeczy:
- Podatność nie wymaga posiadania żadnego konta
- Daje pełen dostęp na admina domeny Windows
- Exploit jest prosty i działa stabilnie
- Działa na wszystkich Windows Serwerach (od 2008 Server wzwyż)
W ostatnich dniach pokazało się dużo działających exploitów, aż w końcu takowy znalazł się w najnowszej edycji popularnego, ofensywnego narzędzia Mimikatz:
A new #mimikatz 🥝release with #zerologon / CVE-2020-1472 detection, exploit, DCSync support and a lots of love inside ❤️
It now uses direct RPC call (fast and supports unauthenticated on Windows)
Thank you: @SecuraBV pic.twitter.com/s7LRRLPRTP
— 🥝 Benjamin Delpy (@gentilkiwi) September 16, 2020
To już chyba ostatnie ostrzeżenie, nie zwlekajcie już z aktualizacją Waszych kontrolerów domeny.
–ms
No ale to jest Exploit który jest użyty przy dostępie do terminal .Czyli przeciwnik musi mieć dostęp do powłoki.
Czy to nie jest tak za 3,2,1
No trzeba mieć dostęp do sieci z wewnątrz (choć nie trzeba mieć konta domenowego).
@olek
O zdziwiłbyś się, jakie cuda w niektórych firmach się dzieją.
U mnie w firmie załatali, w sumie dzięki Waszemu poprzedniemu ostrzeżeniu. Dzięki!
Skąd w ogóle bierzecie te wszystkie newsy? Z twittera? Jakie jest Wasze top 5 kont, które tam śledzicie (ew. top 5 innych źródeł)?
Co do źródeł – to jest tego masa. Z samego Twittera to też ciężko coś konkretnego polecić – bo jest sporo kont które wrzucają dużo (ale trzeba odcedzać), a trochę też które wrzucają rzadko, ale wiadomo że zawsze będzie coś mocnego :)
Odsiewać trzeba zawsze
Tak czy inaczej możecie podesłać kilka linków godnych uwagi.
Na początek np.: https://news.ycombinator.com/
OSINT :)
A na serio, to poprawka była opisana w biuletynie Microsoftu, zainteresowała się nią firma Secura BV, która stworzyła pierwszy Proof of Concept exploita, a następnie… no cóż… na github ludzie tworzyli własne wersje i chwalili się nimi na Twitterze :D
Więc tak, Twitter się przydaje ;)