พบช่องโหว่ใหม่ที่สามารถยกระดับสิทธิ์ user ทั่วไป เป็นสิทธิ admin บน windows 10 และ 11

เมื่อวันที 20 กรกฎาคมที่ผ่านมา ได้พบช่องโหว่ใหม่ของ Microsoft ที่มีชื่อเรียกว่า “SeriousSAM หรือ HiveNightmare”

CVE-2021-36934 Windows Elevation of Privilege Vulnerability มีระดับความรุนแรง CVSS Score: 7.8 เป็นช่องโหว่ในการยกระดับสิทธิ์ ที่เกิดจากรายการควบคุมการเข้าถึง ACL (Access Control Lists) ที่อนุญาตให้มีสิทธิ์เข้าถึงไฟล์ในระบบมากเกินไป และยังสามารถเข้าถึงฐานข้อมูล Security Accounts Manager (SAM) ซึ่งเป็นไฟล์สำหรับเก็บข้อมูล user และ password ของผู้ใช้อีกด้วย

หากผู้โจมตีสามารถเข้าถึงจะสามารถใช้ประโยชน์จากช่องโหว่นี้ในการยกระดับสิทธิเป็น SYSTEM ได้และจะสามารถติดตั้งโปรแกรม ดูการตั้งค่าต่าง ๆ ลบหรือแก้ไขข้อมูล รวมถึงการสร้างบัญชีใหม่ที่มีสิทธิ์ผู้ใช้แบบเต็มรูปแบบ

นักวิจัยด้านความปลอดภัย Jonas Lykkegard ได้กล่าวว่า เขาค้นพบไฟล์ Registry Windows 10 และ 11 นั้น มีความเชื่อมโยงกับ Security Account Manager (SAM) และฐานข้อมูล Registry อื่น ๆ ทำให้สามารถเข้าถึงได้โดย Users ทั่วไป นอกจากนี้ผู้โจมตียังสามารถดึง NTLM (NT LAN Manager) Hash Password ของทุกบัญชีในอุปกรณ์และใช้ hash เหล่านี้ในการโจมตีแบบ pass-the-hash เพื่อยกระดับสิทธิ์ได้อีกด้วย และนักวิจัยยังได้กล่าวอีกว่า "เนื่องจากไฟล์ Registry เช่น SAM ถูกใช้โดยระบบ เมื่อลองพยายามเข้าถึงไฟล์ดังกล่าว จะได้รับการแจ้งเตือนว่ากำลังละเมิดการเข้าถึงไฟล์ เนื่องจากไฟล์ถูกเปิดและใช้งานจากโปรแกรมอื่น"

อย่างไรก็ตาม ผู้โจมตีจะสามารถเข้าถึงไฟล์ Registry รวมถึง SAM โดยผ่าน Windows shadow volume copies จะไม่มีการแจ้งเตือนการละเมิดในการเข้าถึงใด ๆ

วิธีการแก้ปัญหาเบื้องต้น
จำกัดการเข้าถึงของ %windir%\system32\config:

1. Open Command Prompt or Windows PowerShell as an administrator.

ช่องโหว่ Print Spooler (CVE-2021-1675) และ ช่องโหว่ PrintNightmare (CVE-2021-34527)

ช่องโหว่ Print Spooler (CVE-2021-1675)

ในเดือนมิถุนายนที่ผ่านมาพบช่องโหว่บน Print Spooler (CVE-2021-1675) โดยทาง Microsoft กล่าวว่าเป็นช่องโหว่ที่ไม่รุนแรงมาก ซึ่งกระทบกับ Windows ตั้งแต่ Windows 7 SP1 ไปจนถึง Server 2019, ARM64 versions of Windows และ Windows RT 8.1 ต่อมาเมื่อวันที่ 21 มิถุนายนที่ผ่านมา ทาง Microsoft ได้ออกมาอัปเดตว่าช่องโหว่นี้อาจใช้ทำ Remote Code Execution ได้และระดับความรุนแรงจะมากขึ้น โดยนักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Sangfor ซึ่งกำลังเตรียมนำเสนอบทความเกี่ยวกับจุดบกพร่องของ Print Spooler ในการประชุม Black Hat ที่กำลังจะมีขึ้นในเดือนสิงหาคม 2564 แต่ได้มีการเปิดเผยโค้ดเพื่อสาธิตก่อนกำหนดเพราะเข้าใจว่ามีแพตซ์แก้ไขช่องโหว่นี้ไปแล้ว แต่ช่องโหว่ที่ทาง Sangfor เปิดเผยโค้ด ไม่ใช่ช่องโหว่ด้านความปลอดภัยแบบเดียวกับที่ได้รับการแก้ไขใน Patch Tuesday โดยทีมนักวิจัยดังกล่าวได้รีบลบข้อมูลโค้ดนั้นทันที แต่โค้ดช่องโหว่ดังกล่าวได้ถูกดาวน์โหลดและเผยแพร่ซ้ำที่อื่นไปแล้ว โดยช่องโหว่ใหม่นี้มีชื่อเรียกว่า PrintNightmare เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Print Spooler เช่นเดียวกับ CVE-2021-1675 แต่ยังไม่มีแพตซ์แก้ไขช่องโหว่นี้

ช่องโหว่ใหม่มีชื่อว่า PrintNightmare (CVE-2021-34527)

เป็นช่องโหว่ในการเรียกใช้ Remote code excution เมื่อผู้โจมตีประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่ Windows Print Spooler สามารถเรียกใช้รหัสด้วย SYSTEM privileges สามารถติดตั้งโปรแกรม ดู เปลี่ยนแปลง ลบข้อมูล หรือสร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้เต็มรูปแบบ

ทั้ง 2 ช่องโหว่จะมีความคล้ายคลึงกัน

CVE-2021-1675 เป็นช่องโหว่ที่สามารถโจมตีแบบ Remote Code Execution บน Print Spooler ได้ มี Patch แก้ไขแล้ว สามารถดาวน์โหลดได้ที่ Microsoft
CVE-2021-34527 มีลักษณะการโจมตีที่คล้ายคลึงกันแต่แตกต่างกันที่ RpcAddPrinterDriverEx() เกี่ยวกับการตั้งค่าไดรเวอร์ของ Printer ยังไม่มี Patch แก้ไข สามารถติดตามข้อมูลได้ที่ msrc.

พบช่องโหว่ Remote Code Execution ระดับ Critical บน VMware vCenter Server

VMware ได้เน้นย้ำเกี่ยวกับแพตช์สำหรับแก้ไขช่องโหว่ระดับ Critical บน vCenter Server ที่อาจใช้โดยกลุ่มผู้ไม่หวังดีในการยกระดับสิทธิ์เพื่อสั่งรันโค้ดระยะไกลบน Server ได้

CVE-2021-21985 (RCE vulnerability in the vSphere Client) เป็นช่องโหว่ที่เกิดจากการไม่ได้ตรวจสอบความถูกต้องของ Input ใน plug-in สำหรับตรวจสอบประสิทธิภาพการทำงานของ Virtual SAN (vSAN) ซึ่งจะถูกเปิดใช้งานโดยค่า default ใน vCenterServer และทาง VMware ได้กล่าวเกี่ยวกับช่องโหว่นี้ว่า “ผู้โจมตีที่สามารถเข้าถึงเครือข่ายจะไปที่พอร์ต 443 และใช้ประโยชน์จากช่องโหว่เพื่อรันคำสั่งด้วยสิทธ์ Privilege บนระบบปฏิบติการใน host ของ vCenter Server ” โดยช่องโหว่นี้มีระดับความรุนแรง CVSS อยู่ที่ 9.8/10

CVE-2021-21986 (Authentication mechanism issue in vCenter Server Plug-ins) เป็นช่องโหว่ที่อยู่ในขั้นตอนการพิสูจน์ตัวตนของ vSphere สำหรับ Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager, and VMware Cloud Director Availability plug-ins ที่อนุญาตให้ผู้โจมตีใช้งานฟังก์ชัน plug-in ได้โดยไม่ต้องมีการตรวจสอบความถูกต้อง โดยช่องโหว่นี้มีระดับความรุนแรง CVSS อยู่ที่ 6.5/10 (more…)

Google ประกาศแพตช์รอบที่สองสำหรับช่องโหว่ Zero-day ใน Chrome ที่กำลังถูกใช้โจมตี

Google ประกาศแพตช์รอบที่สองสำหรับช่องโหว่ Zero-day รหัส CVE-2021-21166 ที่กำลังถูกใช้โจมตีใน Chrome รุ่น 89.0.4389.72 ที่ผ่านมา โดย CVE-2021-21166 เป็นช่องโหว่อยู่ในระดับสูงและเกี่ยวข้องกับคอมโพเนนต์เรื่องเสียงของ Chrome

แม้ว่า Google จะตรวจพบการใช้ CVE-2021-21166 ในการโจมตีจริงแล้ว Google ก็ยังไม่ได้มีการเปิดเผยรายละเอียดการใช้ช่องโหว่ดังกล่าวเพื่อโจมตีออกมา รวมไปถึงข้อมูลประกอบ อาทิ เป้าหมายของการโจมตี หรือกลุ่มที่อยู่เบื้องหลังการโจมตี โดย Google มีการให้เหตุผลว่าข้อมูลของการโจมตีนั้นจะถูกเก็บเอาไว้จนกว่าผู้ใช้งานส่วนใหญ่จะทำการอัปเดตรุ่นของเบราว์เซอร์ Chrome ให้เป็นรุ่นล่าสุด

นอกเหนือจากแพตช์สำหรับ CVE-2021-21166 ที่ถูกแพตช์ในรอบนี้ด้วยความเร่งด่วนแล้ว Chrome จะมีการปล่อยแพตช์ให้กับอีก 47 ช่องโหว่ซึ่งโดยส่วนใหญ่ถูกพบโดยนักวิจัยด้านความปลอดภัยภายนอกด้วย ขอให้ผู้ใช้ ทำการอัปเดต Chrome ให้เป็นเวอร์ชันล่าสุดโดยด่วนเพื่อลดความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่

ที่มา: bleepingcomputer

Qualys ตกเป็นเหยื่อล่าสุดของกลุ่ม Ransomware Clop จากช่องโหว่ Accellion FTA

บริษัทด้านความปลอดภัย Qualys ออกมาประกาศว่าตนเป็นเหยื่อรายล่าสุด ได้รับผลกระทบจากการรั่วไหลของข้อมูลซึ่งเกิดจากการโจมตีช่องโหว่ในระบบ Accellion FTA โดยกลุ่มมัลแวร์เรียกค่าไถ่ Clop ซึ่งเชื่อว่าเป็นผู้อยู่เบื้องหลังการโจมตีในครั้งนี้ ได้มีการปล่อยตัวอย่างของไฟล์ทีได้มาจากการโจมตี ขึ้นบนเว็บไซต์ของกลุ่มแล้ว

ช่องโหว่ในระบบ Accellion FTA ถูกแจ้งเตือนตั้งแต่ช่วงกลางเดือนกุมภาพันธ์ โดยมี Singtel และอีกหลายบริษัทตกเป็นเหยื่อ ย้อนดูข่าวเก่าของเราได้ที่นี่ facebook

อ้างอิงการยืนยันโดยทีมงานของ Bleeping Computer นั้น Qualys เคยมีการใช้งานระบบ Accellion FTA อยู่จริงที่ fts-na.

แจ้งเตือนช่องโหว่ Code injection ในไลบรารี Node.js “systeminformation”

นักพัฒนาของไลบรารี Node.js "systeminformation" ได้มีการเผยแพร่เวอร์ชันของไลบรารีดังกล่าวหลังจากมีการตรวจพบช่องโหว่ Command injection ในตัวไลบรารีซึ่งปัจจุบันถูกติดตามด้วยรหัส CVE-2021-21315 ความน่ากังวลของสถานการณ์ดังกล่าวนั้นอยู่ที่ความนิยมของไลบรารีนี้ที่มียอดดาวน์โหลดรายสัปดาห์สูงถึง 800,000 ครั้ง ซึ่งหลังจากมีการเปิดเผยการแพตช์ไป อาจทำให้เกิดการโจมตีที่สร้างผลกระทบเป็นวงกว้างได้

ไลบรารี systeminformation เป็นไลบรารีใน Node.

ผลิตภัณฑ์กล้องสำหรับเฝ้าเด็ก NurseryCam ถูกแฮกเกอร์บุกรุกเมื่อวันศุกร์ที่ 19 กุมภาพันธ์ที่ผ่านมา

ตามรายงานจาก BBC ได้ระบุว่าผลิตภัณฑ์กล้องสำหรับเฝ้าเด็ก NurseryCam ซึ่งถูกใช้ในระบบของสถานรับเลี้ยงเด็กประมาณ 40 แห่งทั่วสหราชอาณาจักรได้ถูกระงับการบริการในวันเสาร์ที่ผ่านมาเพื่อปิดปรับปรุงระบบการให้บริการ

การบุกรุกระบบ NurseryCam ทำให้แฮกเกอร์ซึ่งอ้างว่าได้เข้าถึงฐานข้อมูลนั้นสามารถเข้าถึงข้อมูลต่าง ๆ อาทิ ชื่อจริง, Username, Password ที่ผ่านฟังก์ชันแฮช SHA-1 และ Email addresses กว่า 12,000 บัญชี โดยแฮกเกอร์ได้ทำการเผยเเพร่ฐานข้อมูลสู่สาธารณะแล้ว

Andrew Tierney ผู้เชี่ยวชาญด้านความปลอดภัย IoT ได้เริ่มทำการตรวจสอบเหตุการณ์การบุกรุกและทำการตรวจสอบข้อมูลที่ถูกเผยเเพร่ว่าเป็นข้อมูลจริงหรือไม่

ทั้งนี้ NurseryCam ได้ทราบถึงการละเมิดระบบของบริษัทแล้วและได้เริ่มส่งอีเมลถึงผู้ปกครองเพื่อเตือนถึงการบุกรุกครั้งนี้ NurseryCam แล้ว

ที่มา: theregister

Google ประกาศแพตช์ Zero-day ด่วนใน Chrome เชื่อเกี่ยวข้องกับแคมเปญหลอกของเกาหลีเหนือ

Google ประกาศ Chrome เวอร์ชัน 88.0.4324.150 ซึ่งมีการเปลี่ยนแปลงสำคัญคือการแพตช์ช่องโหว่ CVE-2021-21148 ซึ่งเป็นช่องโหว่ Heap overflow ในเอนจินจาวาสคริปต์ V8 ช่องโหว่ CVE-2021-21148 ถูกระบุว่าอาจมีความเกี่ยวข้องกับแคมเปญของกลุ่ม APT สัญชาติเกาหลีเหนือซึ่งใช้ช่องโหว่นี้ในการหลอกล่อผู้เชี่ยวชาญด้านความปลอดภัยในแคมเปญการโจมตีที่พึ่งถูกเปิดเผยเมื่อปลายเดือนมกราคมที่ผ่านมา

อ้างอิงจากไทม์ไลน์ของช่องโหว่ ช่องโหว่ CVE-2021-21148 ถูกแจ้งโดย Mattias Buelens ในวันที่ 24 มกราคม สองวันหลังจากนั้นทีมความปลอดภัย Google ประกาศการค้นพบแคมเปญโจมตีของเกาหลีเหนือซึ่งมีการใช้ช่องโหว่ที่คาดว่าเป็นช่องโหว่ตัวเดียวกัน

เนื่องจากช่องโหว่มีการถูกใช้เพื่อโจมตีจริงแล้ว ขอให้ผู้ใช้งานทำการตรวจสอบว่า Google Chrome ได้มีการอัปเดตโดยอัตโนมัติว่าเป็นเวอร์ชันล่าสุดแล้วหรือไม่ และให้ทำการอัปเดตโดยทันทีหากยังมีการใช้งานรุ่นเก่าอยู่

ที่มา:

zdnet.

นักวิจัยพบช่องโหว่ CVE-2021-3156 ใน Sudo กระทบกับ MacOS ด้วย

Matthew Hickey ผู้ร่วมก่อตั้ง Hacker House ได้ออกมาเปิดเผยบนทวิตเตอร์ถึงการทดสอบ PoC ของช่องโหว่ CVE-2021-3156 หรือที่เรียกว่า Baron Samedit บน MacOS ซึ่งเขาได้พบว่า MacOS ก็ได้รับผลกระทบเช่นเดียวกันกับระบบปฏิบัติการ Unix ตัวอื่นๆ

สืบเนื่องมาจากที่นักวิจัยจาก Qualys ได้เปิดเผยช่องโหว่ CVE-2021-3156 ซึ่งเป็นช่องโหว่ Heap-based buffer overflow ที่อยู่ภายในเป็นเครื่องมือ Sudo ที่ถูกใช้อย่างเเพร่หลายบนระบบปฏิบัติการ Unix ซึ่งช่องโหว่จะนำไปสู่การยกระดับสิทธิ์เป็น Root ได้ โดยที่ผู้โจมตีไม่จำเป็นต้องรู้รหัสผ่านของผู้ใช้

Hickey ได้ทดสอบช่องโหว่ CVE-2021-3156 บน MacOS และได้ทำการปรับเปลี่ยนโค้ดบน PoC ของช่องโหว่เล็กน้อย โดยการสั่งเขียนทับ argv[0] หรือสร้าง symlink ซึ่งจะทำให้ระบบปฏิบัติการ MacOS มีช่องโหว่เช่นเดียวกันกับระบบปฏิบัติการ Linux และยกระดับสิทธิ์เป็น Root ได้เช่นเดียวกัน

Hickey กล่าวอีกว่าช่องโหว่ CVE-2021-3156 นี้สามารถใช้ประโยชน์ได้ใน macOS เวอร์ชันล่าสุดได้ ถึงแม้ว่าจะใช้แพตช์ความปลอดภัยล่าสุดที่ Apple เปิดตัวเมื่อวันจันทร์ที่ผ่านมา ทั้งนี้ Hickey ได้รายงานข้อผิดพลาดเเก่ Apple แล้ว ซึ่ง Apple ปฏิเสธที่จะแสดงความคิดเห็นในขณะที่ตรวจสอบรายงาน ผู้ใช้งาน MacOS ควรทำการติดตามการอัปเดตแพตช์ความปลอดภัยจาก Apple อย่างต่อเนื่องและเมื่อทาง Apple ปล่อยแพตช์ความปลอดภัยเพื่อแก้ไขข้อบกพร่องดังกล่าวผู้ใช้ควรรีบทำการอัปเดตแพตช์อย่างเร่งด่วน

ที่มา: zdnet.

แจ้งเตือนช่องโหว่ระดับวิกฤติ Zerologon (CVE-2020-1472) ยึด Domain controller ได้ มีโค้ดโจมตีแล้ว

เมื่อวันที่ 11 กันยายน 2020 ที่ผ่านมา Tom Tervoort จากบริษัท Secura ได้เผยแพร่ Whitepaper Zerologon: Unauthenticated domain controller compromise by subverting Netlogon cryptography (CVE-2020-1472) ซึ่งเปิดเผยรายละเอียดทางเทคนิค รวมถึงความร้ายแรงของช่องโหว่ดังกล่าวโดยละเอียด หลังจากที่ช่องโหว่ดังกล่าวถูกแพตช์ไปแล้วในแพตช์ประจำเดือนสิงหาคม 2020 โดยจาก Whitepaper นี้ ทำให้เห็นรายละเอียดความร้ายแรงของช่องโหว่มากขึ้น รวมไปถึงทำให้นักวิจัยสามารถจัดทำโค้ดสำหรับโจมตีช่องโหว่นี้เผยแพร่สู่สาธารณะได้

ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัทไอ-ซีเคียว จำกัด ขอแจ้งเตือนและให้รายละเอียดโดยคร่าวเกี่ยวกับช่องโหว่ CVE-2020-1472 ตามหัวข้อต่อไปนี้

รายละเอียดช่องโหว่โดยย่อ
การโจมตีช่องโหว่
ระบบที่ได้รับผลกระทบ
การตรวจจับและป้องกันการโจมตี
อ้างอิง

รายละเอียดช่องโหว่โดยย่อ
ช่องโหว่ CVE 2020-1472 (Zerologon) เป็นช่องโหว่การเข้ารหัสใน Microsoft Windows Netlogon Remote Protocol (MS-NRPC หรือ NRPC) ซึ่งทำให้เมื่อผู้โจมตีเข้าถึง network ภายในองค์กรได้ ผู้โจมตีจะสามารถปลอมเป็นเครื่องใดๆ ใน domain รวมถึง Domain Controller ได้ และส่งคำขอเพื่อเปลี่ยนรหัสผ่านของ Domain Controller เป็นค่าว่างได้ ซึ่งนำไปสู่การยึดครองเครื่อง Domain Controller หรือทำ DCSync เพื่อ Dump Password Hash ออกมาได้ โดยช่องโหว่นี้ได้คะแนน CVSSv3 แบบ Base Score อยู่ที่ 10 เต็ม 10 มีความรุนแรงระดับวิกฤติ

ในปัจจุบันมีการปล่อยโค้ด Proof of concept ของช่องโหว่ดังกล่าวออกมาแล้ว โดยการที่เปลี่ยนรหัสผ่านของ Domain Controller จากการโจมตีนี้ทำให้รหัสผ่านค่าว่างที่จะถูกบันทึกใน Active Directory นั้นแตกต่างจากรหัสผ่านที่บันทึกไว้ใน registry ทำให้ Domain Controller ทำงานผิดปกติอย่างคาดเดาไม่ได้

โดยการแพตช์ของไมโครซอฟต์เกี่ยวข้องกับช่องโหว่นี้จะแบ่งเป็นสองแพตช์ คือ

แพตช์ประจำเดือนสิงหาคม 2020 (Initial Deployment Phase)
แพตช์ประจำเดือนกุมภาพันธ์ 2021 (Enforcement Phase)

โดยในแพตช์ประจำเดือนสิงหาคม 2020 เป็นอัปเดตเพื่อบังคับใช้ Secure NRPC สำหรับ Windows server และ Client ใน domain ทั้งหมด รวมถึงเพิ่ม Systems Event ID 5827 ถึง 5831 เพื่อช่วยในการตรวจจับช่องโหว่ดังกล่าว แต่ยังยินยอมให้มีการใช้ Netlogon เดิมที่ยังมีช่องโหว่ได้

แต่ในแพตช์ประจำเดือนกุมภาพันธ์ 2021 จะเป็นการบังคับใช้ Secure NRPC เท่านั้น ส่งผลให้อุปกรณ์ที่ไม่รองรับ Secure NRPC จะไม่สามารถใช้งานได้ โดยสามารถอ่านรายละเอียดได้จาก How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 ซึ่งผู้ที่อัปเดทแพตช์ประจำเดือนสิงหาคม 2020 แล้วต้องการบังคับใช้ Secure NRPC สามารถอ่านวิธีตั้งค่าได้ในบทความเดียวกันนี้

ข้อเสียของการไม่บังคับใช้ Secure NRPC กับอุปกรณ์อื่นๆ แม้อัปเดตแพตช์แพตช์ประจำเดือนสิงหาคม 2020 คือ ผู้โจมตีจะสามารถปลอมเป็นเครื่องใดๆ ใน domain แล้วเปลี่ยนรหัสผ่านของอุปกรณ์นั้นๆ เป็นค่าว่าง ส่งผลให้อุปกรณ์นั้นๆ ไม่สามารถทำงานได้ (deny of service)

นอกจากระบบปฏิบัติการ windows แล้ว ระบบปฏิบัติการ Linux เป็น Domain Controller ที่มีการใช้ Samba รุ่นต่ำกว่า 4.8 หรือ Samba รุ่น 4.8 เป็นต้นไปที่มีการเปลี่ยนการตั้งค่าไม่ใช้ Secure NRPC จะมีความเสี่ยงต่อช่องโหว่นี้เช่นกัน

ทั้งนี้หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐอเมริกาออกประกาศ Emergency Directive 20-04 ให้หน่วยงานของรัฐทำการอัปเดตแพตช์ของช่องโหว่นี้ภายในวันที่ 21 กันยายน 2020 หรือถ้าอัปเดตไม่ได้ ให้นำเครื่องออกจาก network โดยระบุว่าช่องโหว่นี้เป็นความเสี่ยงที่ไม่สามารถยอมรับได้ (unacceptable risk) เพราะ

มีโค้ดสำหรับโจมตีแล้ว
มีการใช้งาน Domain Controller ในหน่วยงานรัฐจำนวนมาก
โอกาสถูกโจมตีสูง
ผลกระทบจากการโจมตีร้ายแรงมาก
พบว่ามีเครื่องที่มีช่องโหว่อยู่มากแม้มีแพตช์ออกมาแล้วนานกว่า 30 วัน

การโจมตีช่องโหว่
ในปัจจุบันมีการปล่อยโค้ด Proof of concept ของช่องโหว่ดังกล่าวออกมาแล้ว ซึ่ง mimikatz เองก็มีการอัปเดทเพื่อรองรับการโจมตี Zerologon อีกด้วย

 

นักวิจัยมองว่ามีโอกาสสูงที่ APT และผู้โจมตีที่ใช้ ransomware จะใช้ช่องโหว่นี้เป็นขั้นตอนต่อมาหลังจากการเข้าถึง network ภายในองค์กร
ระบบที่ได้รับผลกระทบ

Windows server ทั้งหมดที่ยังได้รับการ support ได้แก่

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

ระบบปฏิบัติการ Linux เป็น Domain Controller ที่มีการใช้ Samba รุ่นต่ำกว่า 4.8
ระบบปฏิบัติการ Linux เป็น Domain Controller ที่มีการใช้ Samba รุ่น 4.8 เป็นต้นไปที่มีการเปลี่ยนการตั้งค่าไม่ใช้ Secure NRPC

หมายเหตุ

Windows server ที่หมดระยะ support อาจได้รับผลกระทบจากช่องโหว่ แต่เนื่องจากหมดระยะ support แล้วจึงไม่มีการวิเคราะห์จากไมโครซอฟต์ว่ามีช่องโหว่หรือไม่ รวมถึงไม่มีแพตช์จากไมโครซอฟต์ 
ระบบปฏิบัติการ Linux ที่มีการใช้ Samba เป็น File servers ไม่ใช่ Domain Controller อาจไม่ได้รับผลกระทบโดยตรงจากช่องโหว่ แต่ควรตรวจสอบว่าใช้ Secure NRPC หรือไม่ เพื่อให้สามารถสื่อสารกับ Windows server ที่จะมีการแพตช์ประจำเดือนกุมภาพันธ์ 2021 (Enforcement Phase) ในอนาคตได้

การตรวจจับและป้องกันการโจมตี
Windows
ปัจจุบันไมโครซอฟต์ไม่มีการแนะนำวิธีป้องกันและลดความเสี่ยงนอกจากการแพตช์ แต่เนื่องจากช่องโหว่นี้มีเงื่่อนไขว่าผู้โจมตีต้องเข้าถึง network ภายในองค์กรได้ก่อน ทำให้ป้องกันได้ทางอ้อมโดยการไม่ให้ผู้โจมตีสามารถเข้าถึง network ภายในองค์กรได้ รวมถึงสามารถตรวจจับการโจมตีได้จากการที่แบ่งโซน network และมีผลิตภัณฑ์ตรวจจับระหว่างโซนภายในกับ Domain Controller โดยผู้ผลิตหลายแห่งได้จัดทำการตรวจจับแล้ว เช่น

Trend Micro Deep Security: Rule 1010519 - Microsoft Windows Netlogon Elevation of Privilege Vulnerability (CVE-2020-1472)
Trend Micro TippingPoint: Filter 38166: MS-NRPC: Microsoft Windows Netlogon Zerologon Authentication Bypass Attempt
Palo Alto Networks Next-Generation Firewalls Threat ID 59336 detecting on the vulnerable Windows API (NetrServerAuthenticate3) with spoofed credentials
FortiGuard ID 49499 MS.Windows.