Jo aikaisemmin kovan keskustelun kohteena ollut Zerologon-haavoittuvuus on yhä kriittisempi ongelma. Olemme kirjoittaneet haavoittuvuudesta jo aikaisemmin Tivissä.

Kyberturvallisuuskeskuksen julkaiseman uuden tiedotteen mukaan haavoittuvuuden hyväksikäytöistä on nyt tullut ensimmäisiä havaintoja. Keskuksesta ennustetaan, että nämä yritykset tulevat vain yleistymään tulevaisuudessa.

Samalla varoitetaan, että haavoittuvuuden käyttäminen hyväksi on vaarallisen yksinkertaista. Microsoft on jakanut joitakin tunnistetietoja hyökkääjien käyttämistä työkaluista:

Haavoittuvuudelta voi suojautua ainoastaan päivittämällä kaikkien Windows-toimialueiden palvelimet turvalliseen ohjelmistoversioon. Kyberturvallisuuskeskus varoittaa, että yhdenkin palvelimen päivittämättä jättäminen voi mahdollistaa hyökkäyksen koko järjestelmään.

Puolestaan maailmalla Yhdysvaltojen tietoturvaviranomainen (CISA) julkaisi määräyksen, jossa edellytettiin kaikkia liittovaltion osastoja ja virastoja korjaamaan alttiit Windows-palvelimet.

Suomessa ei ole tiedettävästi havaittu haavoittuvuuden hyväksikäyttöä.

Haavoittuvuus johtuu Netlogon Remote -protokollasta, joka on saatavilla Windowsin toimialueen ohjauskoneille. Windows-ympäristön ottaminen haltuun voidaan tehdä eri menetelmillä. Toimialueen ohjauspalvelimen (Domain Controller) ottaminen haltuun tapahtuu nopeasti esimerkiksi kaappaamalla ohjauspalvelimen identiteetti. Tämän avulla saadaan toimialueen ylläpitäjän oikeudet (Domain Admin).

Microsoft on korjannut hyvin kriittisen Zerologon-haavoittuvuuden elokuun 2020 turvallisuuspäivityksen myötä. Haavoittuvuus tuli ajankohtaiseksi kuukausi myöhemmin kun haavoittuvuuden hyväksikäyttömenetelmiä putkahti julkisuuteen.