Разбор кейса Zerologon: Как одна уязвимость поставила под угрозу корпоративные сети мира

Cloned Boy

Cloned Boy

Professional
Messages
984
Reaction score
767
Points
93
Zerologon (CVE-2020-1472) — критическая уязвимость в протоколе Netlogon Windows Server, обнаруженная в 2020 году. Она позволяла хакерам взламывать контроллеры доменов Active Directory (AD) за секунды без пароля.

🔍 Что такое Zerologon?​

Техническая суть уязвимости​

  • Где? В протоколе Netlogon (используется для аутентификации в доменах Windows).
  • Проблема: Ошибка криптографии (AES-CFB8 с неправильной проверкой IV).
  • Результат: Можно подделать запрос и получить права администратора домена.

Как это работало?​

  1. Хакер отправлял специальный запрос к контроллеру домена.
  2. Сервер не проверял подлинность запроса из-за бага в шифровании.
  3. Злоумышленник получал полный контроль над доменом (включая все компьютеры и учетные записи).

⚔️ Кто использовал Zerologon?​

1. Киберпреступники​

  • Ransomware-группы (Conti, Ryuk) взламывали корпоративные сети и шифровали данные.
  • Финансовые хищники крали логины банковских систем.

2. Государственные хакеры​

  • Китайские APT-группы атаковали правительственные сети США.
  • Российские хакеры (например, Cozy Bear) использовали Zerologon для скрытого доступа.

3. Скрипт-кидди​

Из-за простоты эксплуатации (есть готовый PoC в Metasploit) уязвимость стала массовой.

🛡️ Как обнаружили и закрыли уязвимость?​

1. Кто нашёл?​

  • Исследователи из Secura (Нидерланды) в августе 2020.

2. Реакция Microsoft​

  • Август 2020: Срочный патч (но многие не обновились).
  • Февраль 2021: Принудительное отключение уязвимой версии Netlogon.

3. Сложности с исправлением​

  • Старые устройства (принтеры, IoT) ломались после обновления.
  • Некоторые компании до сих пор уязвимы (по данным CISA).

📊 Последствия Zerologon​

1. Глобальные взломы​

  • Больницы, банки, госучреждения были атакованы через Zerologon.
  • Убытки: Десятки миллионов долларов (из-за ransomware).

2. Изменения в безопасности​

  • Active Directory теперь требует строгой аутентификации.
  • Киберстраховки стали дороже для компаний с устаревшими системами.

3. Урок для индустрии​

  • Даже "невинные" протоколы могут быть опасны.
  • Автоматическое обновление — обязательно.

📚 Чему научил этот кейс?​

  1. Одна строка кода может сломать всю безопасность.
  2. Старые системы = главная цель хакеров.
  3. Даже Microsoft не всегда быстро чинит дыры.

Хотите разбор другой уязвимости? Например, Log4Shell — как баг в библиотеке Java потряс интернет?
 
You must log in or register to reply here.

Similar threads

Cloned Boy
Разбор кейса Shadow Brokers: Кто слил кибероружие NSA и как это изменило мир
Replies
0
Views
53
Cloned Boy
Cloned Boy
Cloned Boy
Разбор кейса Cozy Bear (APT29): Российская группа кибершпионажа
Replies
0
Views
55
Cloned Boy
Cloned Boy
Cloned Boy
Разбор кейса Sandworm: Российская хакерская группировка в кибервойнах
Replies
0
Views
49
Cloned Boy
Cloned Boy
Cloned Boy
Разбор кейса Cobalt Group: Как хакеры атаковали банки и что их погубило
Replies
0
Views
45
Cloned Boy
Cloned Boy
Cloned Boy
Разбор кейса Lazarus Group: Северокорейская хакерская группировка
Replies
0
Views
51
Cloned Boy
Cloned Boy
Back
Top