Lỗ hổng Zerologon cho phép hacker, tội phạm mạng có quyền truy cập vào Windows Domain Controller. Từ đó, chúng chiếm quyền kiểm soát hoàn toàn domain Windows một cách nhanh chóng và tin cậy. Khả năng bá đạo này khiến Zerologon trở thành lỗ hổng hoàn hảo với bất kỳ hacker nào và là cơn ác mộng của các chuyên gia bảo mật.
Zerologon được phát hiện ra bởi nhà nghiên cứu bảo mật Tom Tervoort của hãng Secura. Ông đã mau chóng thông báo phát hiện của mình cho Microsoft. Gã khổng lồ phần mềm cũng đã tung ra bản vá cho Zerologon trong lần cập nhật bảo mật Patch Tuesday hồi tháng 8 vừa rồi. Từ đó, Zerologon được gán tên mã CVE-2020-1472.
Theo đánh giá, Zerologon đạt điểm 10, mức tối đa trong thang độ nguy hiểm của CVSS.
Microsoft cảnh báo Zerologon đang bị hacker nhắm vào, người dùng nên vá khẩn cấp
Cập nhật ngày 25/09/2020
Microsoft vừa lên tiếng cảnh báo rằng các hacker mũ đen trên toàn cầu đang tích cực khai thác lỗ hổng Zerologon. Vì thế, gã khổng lồ phần mềm khuyến cáo người dùng và các tổ chức, doanh nghiệp nên cập nhật ngay bản vá Patch Tuesday tháng 8/2020 để khắc phục lỗ hổng Zerologon.
Trong bản cập nhật Patch Tuesday tung ra hồi tháng 8 vừa rồi, Microsoft đã khắc phục lỗ hổng có tên mã CVE-2020-1472. Thời điểm đó, nó chưa được coi là một lỗ hổng nghiêm trọng. Tuy nhiên, sau đó vài ngày, người ta nhận thấy CVE-2020-1472 là một vấn đề không thể coi thường.
Cụ thể, CVE-2020-1472 được các chuyên gia bảo mật đặt tên là Zerologon cho phép hacker tấn công và chiếm quyền Domain Controller của các máy chủ. Theo thang độ nguy hiểm của CVSS, Zerologon đạt điểm tuyệt đối 10/10.
Hacker có thể lợi dụng Zerologon để chiếm quyền Domain Controller trên bất kỳ phiên bản nào của Windows Server 2019 hoặc Windows Server 2016 cũng như bất kỳ biến thể nào của Windows Server phiên bản 1909, Windows Server phiên bản 1903, Windows Server phiên bản 1809 (Datacenter và Standar), Windows Server 2012 R2, Windows Server 2008 R2 Service Pack 1.
Những dữ liệu mà Microsoft thu thập được cho thấy hacker, tội phạm mạng đang khai thác tích cực Zerologon. Đây là điều khó tránh khỏi bởi lỗ hổng này được công khai khi Microsoft vẫn chưa nhận ra mức độ nguy hiểm của nó. Vì thế, Microsoft khuyên các tổ chức, doanh nghiệp và người dùng nên cập nhật ngay bản vá.
Bên cạnh Microsoft, Cơ quan An ninh Quốc gia Mỹ (NSA) cũng đã lên tiếng cảnh báo về Zerologon.
Zerologon là gì?
Về cơ bản, Zerologon hay CVE-2020-1472 là kết quả của một vấn đề trong sơ đồ xác thực mật mã Netlogon Remote Protocol. Đây là giao thức được sử dụng để xác thực người dùng và các cỗ máy trong mạng dựa trên domain và cũng được sử dụng để cập nhật mật khẩu máy tính từ xa. Thông qua lỗ hổng này, hacker có thể mạo danh máy khách và thay thế toàn bộ mật khẩu của Domain Controller. Điều này giúp hacker chiếm được quyền quản trị miền.
Đối tượng nào dễ bị ảnh hưởng bởi Zerologon?
Zerologon đe dọa các công ty sử dụng mạng dựa trên Domain Controller chạy trong Windows. Nguy hiểm hơn, hacker có thể chiếm quyền Domain Controller trên bất kỳ phiên bản nào của Windows Server 2019 hoặc Windows Server 2016 cũng như bất kỳ biến thể nào của Windows Server phiên bản 1909, Windows Server phiên bản 1903, Windows Server phiên bản 1809 (Datacenter và Standar), Windows Server 2012 R2, Windows Server 2008 R2 Service Pack 1.
Để khai thác lỗ hổng này hacker sẽ cần phải truy cập vào mạng của công ty trước. Tuy nhiên, hiện tại điều này có thể được thực hiện một cách dễ dàng.
Hiện tại, chưa ghi nhận bất kỳ vụ tấn công nào khai thác lỗ hổng Zerologon.
Cách bảo vệ khỏi các cuộc tấn công nhắm vào lỗ hổng Zerologon
Hiện tại Microsoft đã tung ra bản vá lỗ hổng Zerologon cho tất cả các hệ điều hành bị ảnh hưởng. Chính vì thế, bạn chỉ cần cập nhật bản vá Patch Tuesday tháng 8/2020 để đảm bảo rằng lỗ hổng Zerologon đã được vá.
Để xem thêm chi tiết về bản vá Patch Tuesday tháng 8 và tháng 9/2020 mời các bạn truy cập các bài viết dưới đây: