• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Эхо террора: сказание о Zerologon или как АНБ опять подставило весь мир под удар - взломать Пентагон было проще, чем ты думаешь

Предисловие

hacked-you-have-been-hacked.gif
vgif-ru-23086.gif

Салам. Давно-то уже я не брался за перо, ведь материала куча до сих пор пылится, ожидая своей очереди на публикацию. Но сегодня у нас начнется новый цикл статей, честно, вот понятия не имею как его назвать, но что-то похожее я уже делал, хотя тогда обозвал это Исторической вирусологией, однако под её концепт не очень-то и подходило.

В душе не чаю была ли эта работа уже опубликована, но тогда мы с вами рассматривали хронологию уязвимости HeartBleed: как она была обнаружена, какие оплошности были допущены и как она реализовывалась. Тогда мне даже удалось обнаружить очень крупный интернет-банк, который пользуется популярностью в моей стране и до сих пор имеет эту уязвимость. Речь не о этом. В рамках цикла Эхо Террора, да, именно так и решил назвать, мы будем рассматривать самые такие резонансные кибератаки за всю историю существования сети Интернет и компьютерных технологий, проанализируем методологию злодеяний, походим теми же тропами, что и злоумышленники, узнаем о хронологии и предвестниках фатума, ну, и кабанчиком пробежимся по биографии плохишей.

И так уж повелось, что как только я что-то планирую - всё идет под откос. И уже начинает складываться ощущения, что смерть буквально преследует меня, но поймать все никак не может, эдакие догонялки. Сыграв в её очередную игру, я много чего переосмыслил, но отношения к статье это не имеет, потому ловите дисклеймер:

Дисклеймер

На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.

И напоминаю, что в рамках этой связки статей у нас действует конкурс на 5.555 рублей, а связан он с отсылками в моих работах: культовые фильмы, анимешки да и просто мемы с играми. Узнали? Пишите комментарий, ведь тот, кто раздает все пасхалки - получит денежку.

Эхо террора: сказание о Zerologon или как АНБ опять подставило весь мир под удар - взломать Пентагон было проще, чем ты думаешь

Сегодня статья будет весьма необычной, но менее интересной от этого она отнюдь не становится, и я поведаю вам истории, которые больше походят на теории заговора и даже если это все окажется выдумкой, то как минимум будет поучительно. Почему? Да потому что эти истории наглядно покажут, как небольшие человеческие оплошности приводят к фатальным последствиям. И это применимо ко всему. Поехали.

Так как этот выпуск вводный, ничего сверх серьезного разбирать не станем, а для облегчения задачки введем немного сюжета.

Вечер. Типичная суета большого города на закате дня. “Домой…” - наверное, самая частая мысль, присуща человеку в это время. Все горят различными желаниями: кому-то хочется быстрее окунуться в виртуальный мир, кто-то спешит к любимой или семье, а кто-то и вовсе хочет лишь сна и покоя. Вечного?

Но среди всей этой массы выделялся лишь один парнишка, он неторопливо шагал, явно о чем-то размышляя, или же нет… Он был озадачен и это ярко отображалось на его лице.

Этот молодой человек был студентом факультета компьютерной инженерии, он яро любил учиться и горел всей душой от выбранного направления. Но дело было вот в чем. Нет, его не бросила девушка или что-то в этом тривиальном духе, его заданием на следующий день было написание доклада о резонансных кибератаках и том, как они проводились.

Тема сложная, потому Бан, а именно так нашего персонажа зовут, пребывал в явном унынии. Придя домой, он сел за подготовку материала, но даже он понимал, что времени ему никак не хватит и задача просто невыполнима.


Просматривая просторы Гугла, наш герой наткнулся на одну очень интересную уязвимость, которая наделала шуму в 2020 году - ZeroLogon. Чуть пораскинув мозгами, Бан, чтобы не получить бан из универа, решает писать о ней.

Реферат Эхо Террора: ZeroLogon - уязвимость, хронология и её потенциальная опасность для современного общества + практика

Работу подготовил: Бан, факультет Компьютерной инженерии, третий курс.


Приветствую, для начала представляю план, по которому будем работать:

  1. ZeroLogon: что такое и с чем его едят - проблематика
  2. Часть вторая: опасность уязвимости, кто и в каких целях её использовал, предполагаемый ущерб
  3. Часть третья: технические подробности ZeroLogon
  4. Часть четвертая: применение в реалиях сегодняшнего времени
  5. Часть пятая: способы защиты, меры по исправлению дыры

ZeroLogon: что такое и с чем его едят - проблематика


Начнем-с, официальный индикатор этой дыры - CVE-2020-1472. Ещё в первые дни после официального обнаружения она получила звание самой опасной уязвимости последнего десятилетия. Заметьте, что за последние десять годков было обнаружено много всего, что могло бы по праву носить это звание. Хотя речь не о этом, её суть заключается в том, что посредством эксплуатации злоумышленник может скомпрометировать учетную запись пользователя и получить доступ к машинному аккаунту контроллера домена, то есть получить доступ к содержимому всей базы Active Directory. Пояснять не стану.

ZeroLogon - дыра в протоколе шифрования, который использует служба NetLogon, которая отвечает за сценарии входа и групповые политики, которые могут использоваться компьютерами, развернутыми в домене. Проще говоря эта служба отвечает за аутентификацию пользователя.

Давайте представим себе некий офис компании: куча-туча компьютеров связанных одной корпоративной сетью, некий Петя-злоумышленник, запускает эксплоит и выдает себя за контроллер домена. Теперь он может сменить к нему пароль и преспокойно войти, стало быть теперь вся корпоративная сеть принадлежит ему и он волен делать что угодно с ней, зачастую воровать, таков уж Петя.

Далее Злоумышленник-Петя будет использовать учетную запись контроллера домена для развития атаки, например, и получит учетные данные всех пользователей.

В сентябре голландский изыскатель в сфере ИБ Том Тервоорт разместил подробное описание уязвимости, подробно разложив все по полочкам, потому обратимся к пересказу его слов. Как оказалось, ZeroLogon вызвана недостатком в схеме криптографической аутентификации, которую использует Netlogon Remote Protocol.

Рукопожатие и аутентификация MS-NRPC полагают использование режима AES-CFB 8 (с 8-битным режимом обратной связи по шифротексту). Это вариант блочного шифра AES, который подготовлен для работы с блоками входных данных по 8 байт взамен обыкновенных шестнадцать байт (один 28-бит). Как нашел Тервоорт, применение шифрования AES-CFB8 к состоящему из одних нулей открытому тексту приведет к такому же состоящему из одних нулей зашифрованному тексту. Это происходит из-за ошибки реализации для 1 из двухсот пятидесяти шести ключей.

Ну, вот как-то так.

Часть вторая: опасность уязвимости, кто и в каких целях её использовал, предполагаемый ущерб

Итак, здесь хотелось бы представить немного хронологии и истории самой уязвимости, думаю, что будет очень даже кстати. Поехали.


М-м-м, сперва стоит отметить, что эта дыра существует уже очень продолжительное время, как оказалось, как и нашумевший ЭтерналБлю, ЗероЛогон использовалась АНБ в своих корыстных целях. Стоит отметить, что служба NetLogon, которая как раз и уязвима к атаке, существует ещё с незапамятных времен. Представьте себе виндоус ХР 2003 года, Виндоус Сервера и так далее - все они могут быть скомпрометированы.

Но так уж получилось, что очень долгое время этого всего не замечали, то ли специально, то ли действительно так получилось.

Август 2020 - неизвестный пользователь сливает данные о уязвимости и она очень быстро обретает медийность .

20 августа 2020 - начинают появляться первые прототипы эксплоитов в свободном доступе, что провоцирует резкий скачок в количестве атак.

23 августа 2020 - группа энтузиастов-вредителей из Китая, также именуемые как Цикада, начинают масштабную атаку на Машиностроительные компании США, используя как раз таки нашу сегодняшнюю дыру.

25 августа 2020 года - Ford, GMC и Chevrolet временно прекращают производство на нескольких заводах из-за вмешательства в производство третьего лица.

27 августа 2020 года - Некий высокопоставленный чиновник из США был скомпрометирован, а после и уволен.

Сентябрь 2020 года - ранее упомянутый изыскатель обнародовал отчет или что-то типа того. В своем отчете Терфорт подробно описывает уязвимость и то, как он ее обнаружил. Во время своих исследований Терфорт заметил, как мало информации доступно о MS-NRPC. В ходе исследования он обнаружил важную деталь — Microsoft использовал уникальный вариант шифрования, не применяемый в других протоколах RPC. Во времена Windows NT учетная запись, назначенная компьютеру, не идентифицировалась как уникальное имя клиента, для которого разрешается аутентификация с помощью стандартного протокола Kerberos.

То есть Microsoft не мог использовать этот протокол для аутентификации учетных записей компьютеров и машин.
По этой причине разработчики создали альтернативный способ. Крайне трудно разработать код и протоколы для шифрования, которые нельзя взломать. При этом до обнаружения их недостатков может пройти очень много времени — как и в этом случае.

9 октябля, ой, октября 2020 года - кульминация сего действа. Муниципальная сеть города Остин, штат Техас была взломана.
В список зарегистрированных жертв входят министерства торговли, национальной безопасности, государства и казначейства; Пентагон; фирма по кибербезопасности FireEye; компания по разработке программного обеспечения для ИТ SolarWinds; а также различные аэропорты и сети местных органов власти в Соединенных Штатах, среди прочего.
Как вы думаете кого обвинили? Правильно, СНГшных хацкеров:


Скомпрометировав сеть 11-го по численности населения города Америки, злоумышленники теоретически могут получить доступ к конфиденциальной информации полиции, городском управлении и выборах, а также, приложив дополнительные усилия, проникнуть в сети водоснабжения, энергетики и аэропортов.
А теперь цитата:
“Хакерская группа Berserk Bear, которая, как считается, стоит за взломом в Остине, также, похоже, использовала сеть Остина в качестве инфраструктуры для организации дополнительных атак”.
Но вот атаки на SolarWinds, FireEye и правительственные организации приписали другой группировке - APT29, также известной как Cozy Bear.
12 октября 2020 года - агентство Reuters , что спонсируемая государством хакерская группа взломала министерства финансов и торговли, что спровоцировало экстренное заседание Совета национальной безопасности в выходные дни.
22 октября 2020 года - выходит предупреждение о том, что хакерская группа нацелилась на аэропорты, энергетические компании, а также государственные, местные и племенные правительства по всей стране и «экстрагировала данные как минимум с двух серверов-жертв».
23 октября 2020 года - New York Times , что хакеры «влезли в локальные сети» в Калифорнии и Индиане, не уточнив, какие именно сети были взломаны.
И опять август 2020 года - Майкрософт выпускает патч, который фиксит уязвимость.

Стоп-стоп, если эта дыра была исправлена ранее, то как произошло все то, что было позже? Да, таким вопросом и я задавался, как оказалось, даже государственные учреждения, которые работают на правительство пренебрегают установкой обновлений и фиксов. От чего и видим такой резонанс.

Часть третья: технические подробности, обнаружение

Итак, как же происходит атака с использованием ZeroLogon, здесь тот самый исследователь выделил три ключевых этапа.

Сперва атакующий отправляет на машину нулевые байты вместо восьми случайных. Злоумышленник повторяет отправку таких сообщений, пока сервер успешно не примет одно из них, и тем самым обходит процесс аутентификации. В случае с Zerologon для успешного соединения с сервером требуется в среднем 256 попыток отправки сообщения ClientChallenge. Естественно, вручную это никто не делает.

Вторым этапом обозначено отключение механизма RPC signing and sealing. Что это значит?

MS-NRPC использует механизм RPC signing and sealing для шифрования транспортного уровня. Обычно шифрование — обязательный процесс при передаче данных, но в MS-NRPC этот механизм не является обязательным и управляется клиентом. То есть сервер не будет отказывать пользователю, который пытается установить соединение без шифрования. А это в свою очередь означает, что можно просто отключить шифрование, указав это в заголовке. Делается это для того, чтобы атакующий мог использовать методы протокола MS-NRPC в открытом виде.

Ну, и третья стадия очень и очень банальна - это изменения пароля. Атакующие при помощи метода NetrServerPasswordSet в MS-NRPC могут изменить код для входа в учетную запись компьютера. А дальше злодей волен делает все, что посчитает нужным.

Как я уже ранее упоминал, эксплоитов для этой уязвимости пруд пруди. В основе работают они очень похожим образом: выполняют вышеуказанные действия и или сбрасывают пароль, или устанавливают его на пользовательское значение.

Но первый эксплоит был опубликован компанией Secura на GitHub. Скрипт попытается эксплуатировать уязвимость Zerologon: после успешного установления соединения он немедленно завершит работу и не будет выполнять никаких действий через Netlogon, но есть и те, которые предоставляют вам доступ к дальнейшим действиям.

Но к этому всему мы вернемся чуточку позже. А сейчас о том, как понять, что ваше устройство потенциально уязвимо или уже было атаковано. Поехали.

Способ первый и, наверное, самый простой. Так как атака происходит в сторону службы NetLogon, можно просто просмотреть журнал событий этой самой службы, однако здесь существует загвоздка. По умолчанию сохраняются только важные события, а НетЛогон подключение и сброс пароля не считает чем-то, что достойно нашего внимания.

Хотя это также можно решить, включением режима отладки:
Код:
nltest /dbflag:0x2080ffff

После перезапуска службы по пути C:\Windows\debug\netlogon.txt можно будет найти подробную запись всего происходящего.

cTHCVrAt3zQPbPQdkOzQo2gZE65li-QD7emYmkM7t2NKTU626-o6yHBs-4UzsBm0ziVxQS-u1Alih3p7pEzNN4UbnpWsYVtSnw62YoDU4bylhg5syeKF0bKSq6D4V3RSnr0YzOev6Ik74Z2Uu5lnQ4w


Теперь фиксируется каждый этап атаки и даже можно заметить хеш пароля, на который был изменен стандартный.

Но сей метод не особо пользовался популярностью, так как это требует включения режима отладки на всех устройствах, которые потенциально подвержены атаке, потому существует уйма других.

Рассмотрим мы ещё несколько. Так как первый этап эксплуатации является фактически брутфорсом: атакующий посылает 256 раз по 8 нулевых байтов, тем самым пытаясь аутентифицироваться с помощью Netlogon на контроллере домена с сообщением ClientChallenge.

Множественные неуспешные попытки аутентификации приводят к генерации события 5805 на контроллере домена: «The session setup from the computer failed to authenticate. The following error occurred: Access is denied»

Плюс, если в эксплоите было указано неверное имя учетной записи контроллера, то попытка аутентификации будет вызывать ошибку 5723 : «The session setup from computer ’’ failed because the security database does not contain a trust account ’’ referenced by the specified computer»

ijkGcHXs87aOuA9-ebTvK6RNNXifpB7SsCns8XUQ6IcqoNX3av2aKY-bc1NI7EfhxLPh-w_i-iaHvfYzjmx9XZsocJmbu_tTn2iTx8XNUe-jisphW3S3P24VfJulFvkE2E9c6HhWxhoe6ezrQ0oJp9o


В случае эксплуатации Zerologon при помощи утилиты mimikatz или других эксплоитов, запущенных с хоста с именем kali, в событиях остаются артефакты (имя хоста с установленной ОС Kali Linux меняется крайне редко, поэтому и учитывается в правиле). Mimikatz с неизмененным исходным кодом оставляет артефакт в виде подстроки mimikatz в событиях 5805 и 5723.

Ещё одним занятным вариантом обнаружения атаки с помощью мониторинга трафика службы НетЛогон. Как уже неоднократно говорилось, первым этапом атаки есть отправка нулевых байтов и таких попыток может быть до 256 и это будет тяжело не заметить при мониторинге трафика. Обращения по протоколу DCE/RPC с отправкой запросов на получение ServerChallenge методом NetrServerReqChallenge и попытками аутентификации методами NetrServerAuthenticate с нулевым значением ClientChallenge осуществляются на RPC-интерфейс MS-NRPC.

qQbx_hXpf5bwhbUNgAUYULJu-YdJYTrqaNDR4obp6Wfmr9wrU9ow6wWlyDHkfSuaTtIayP_IdHtI2G9Xe5pigRU8IHjxwexnl55IwcfqTd6R00xCdAwO-Fq_4JOA0FuzbT7dpoOwwfSJSiYoCE9GOPU


И здесь не нужно особо хитростей, достаточно лишь понаблюдать и аномально большое количество одинаковых запросов и приведет вас к ответу, атакуют ли ваш корпоративный домен.

Таким образом, обнаружить атаку Zerologon по сетевому трафику возможно или по аномально большому количеству запросов от единственного источника по протоколу DCE/RPC с парами методов NetrServerReqChallenge и NetrServerAuthenticate за короткий промежуток времени, или по журналу событий службы, или по ошибкам возникающих при мониторинге.

Часть четвертая: применение в реалиях сегодняшнего времени

Для примера мы возьмем совершенно рандомный скрипт из Гитхаб, но сперва давайте настроим контроллер домена на машине с Виндоус Сервер 2008, погнали.

Здесь можно вообразить, что герой нашей сегодняшней статьи, который пишет реферат, проник в свою старую школу, где все компьютеры были объединены вот такой вот общей сетью. Машина учителя выступала в качестве контроллера, а все остальные были участниками. Если так подумать, то в моей школе все было аналогичным образом и я только сейчас понимаю, что мог бы натворить, учись я в школе сейчас. Хе-хе.

Ладно, создаем контроллер. Сперва нам нужно настроить сеть, делается это посредством редактирования протокола IPV4 в настройках подключения к сети. Прописывает вручную айпи, маску сети и DNS, в моем случае будет выглядеть все вот так:

Screenshot_2.png


В качестве предпочитаемого DNS нужно будет прописать айпи машины, здесь все готово.

Теперь переходим в утилиту Server Manager, где нам нужно будет установить Active Directory, выбираем пункт Add Roles, далее можно просто следовать установке и топить кнопку Next. Но во вкладке Select Server Roles нужно будет поставить галочку напротив Active Directory.

Затем нам нужно открыть утилиту DCPROMO и просто согласиться, нажав OK. После возвращаемся в Server Manager и нажимаем на флажок, где отмечаем “Promote this server to domain Controller”. Затем прописываем имя пользователя и пароль. Все папки контроллера будут размещены по дефолтному пути, менять их смысла не вижу.

Screenshot_3.png


После переходим во вкладку AD DS, где создаем учетные записи, подробно расписывать не буду, чтобы не затягивать.

А теперь давайте запустим нашу Кали и попытаемся провести атаку, кстати заведомо ставил сервер, который будет уязвим. Поехали.

Сперва давайте скопируем репозиторий, первый попавшийся:

Код:
git clone https://github.com/risksense/zerologon.git
cd zerologon

И в соответствии с инструкцией запускаем скрипт на питоне:
Код:
python3 set_empty_pw.py Kirin 192.168.4.4

Окей, все прошло без ошибки, ну, а теперь просто установим новый пароль:
Код:
python3 secretsdump.py '123/Kirin$@192.168.4.4'

Screenshot_5.png


Затем у нас выскакивает запрос нового пароля и на этом все. Далее можно подключаться через обычный RDP и делать, что душе угодно. Просто? Элементарно, Ватсон! И это, наверное, самое пугающее.


Часть пятая: способы защиты, меры по исправлению дыры

Есть несколько способов, но как по мне самый хороший, это просто выбросить контроллер домена из окна и не пользоваться больше общей корпоративной сетью. Но если серьезно, то банальная установка патча от Майкрософт могла бы уберечь от таких серьезных последствий, но почему-то… Как всегда. Конечно корпорации Майкрософт веры нет, но не до такой же степени. :)

Допустим, что вы ярый противник патчей, но все равно желаете пользоваться общей сетью с коллегами. Решение есть:


Ладно, долой шутки. Если уж так пошло, то можно создать отдельную GPO политику, которая принудительно переведет все DC в сети на использование безопасной версии протокола Netlogon. Для этого нужно с помощью GPO распространить следующий ключ реестра на все DC:

  • Ветка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  • Тип параметра: DWORD
  • Имя параметра: FullSecureChannelProtection
1 — запрет на использование уязвимой версии Netlogon для установки соединения с DC. Данный ключ не действует на аккаунты, добавленные в политику “Domain controller: Allow vulnerable Netlogon secure channel connections»

Утро, реферат закончен. “Я успел, таки успел”. Имея чертовски потрепанный вид, с ноутбуком в руках Бан поковылял в сторону остановки.

Выводы

Ё-маё, большая статья вышла все-таки. Сказать в заключение мне нечего. Просто получается, что люди всегда игнорируют то, что действительно может уберечь их, а злоумышленники и рады воспользоваться этим. На этом у меня все, с вами был какой-то ноунейм под ником DeathDay (а также его редактор Яш) и новый цикл - Эхо Террора. Не прощаюсь, мира всем.

08/2020 - ZeroLogon.​
 
Последнее редактирование:

sleppy

One Level
25.07.2022
5
9
BIT
0
Эхо террора - Zankyou no Terror, аниме 2014 года. Глав герои девятый и двенадцатый.
Бан - лисий грех жадности, персонаж аниме Семь смертных грехов, бессмертный, любимый перс кста.
Про Петю инфы не нашёл( но есть мультик Петя и волк 2018 года.
Статься мега класс, спасибо за старания!
 

Крисофник

Green Team
22.07.2020
15
18
BIT
0
Эхо террора - Zankyou no Terror, аниме 2014 года. Глав герои девятый и двенадцатый.
Бан - лисий грех жадности, персонаж аниме Семь смертных грехов, бессмертный, любимый перс кста.
Про Петю инфы не нашёл( но есть мультик Петя и волк 2018 года.
Статься мега класс, спасибо за старания!
Эээ, а ты хорош. Не успел прочитать, а уже написали... :(
 
  • Нравится
Реакции: DeathDay и sleppy

SearcherSlava

Red Team
10.06.2017
943
1 259
BIT
109
Братья, сестры, здравы будьте!

Шапочку из фольги надеть не забудьте.

Нагуглил файлик по данной тематике, на стр. 11 указано название российской антивирусной компании с опечаткой, на стр. 16-17 приведен перечень ОС с уязвимостями, которые, возможно, до сих пор являются таковыми. Второй файлик - меморандум о взаимопонимании между организациями. Вобщем, может быть кому-то будет интересно почитать.

Неспособность АНБ хранить секреты
Ключ к разгадке на вопросы и ответы

Уникальный вирус Петя
Он сильнее всех на свете
Где-то создан Этернал
Он весь мир уже достал

Теневые брокеры
Хакеры и рокеры
Знают толк и в покере
Всё везде им похеру
Они ведут свою игру
Знать им такое по нутру
Они проснулись по утру
Хеллоу, Ворд и быть добру!
 

Вложения

  • PDF.pdf
    211,6 КБ · Просмотры: 143
  • PDF.pdf
    556,6 КБ · Просмотры: 120
Последнее редактирование:
02.03.2021
544
398
BIT
172
хорошая статья, мое почтение @DeathDay

Про сервера и патчи скажу следующее: много плохих и ленивых админов которые сервера не перезагружают годами, по разным причинам он может не запуститься из за кривизны рук данного специалиста. Когда то установился антивирус касперского и без дополнительной настройке от него доступ потеряют, да и зачем на него что то ставить, отвалиться другое, а это потребует ремонт сервера или миграцию AD на другой контролер. Очень много ссылаются на нехватку ресурсов и времени прикрывая этим свою лень

Предполагаю если хорошо поискать много таких дыр найдется на пространстве СНГ, возможно легче будет посчитать у скольких компаний данная проблема устранена
 
  • Нравится
Реакции: Ondrik8 и DeathDay

Dmitry888

One Level
02.12.2020
4
2
BIT
0
хорошая статья, мое почтение @DeathDay

Про сервера и патчи скажу следующее: много плохих и ленивых админов которые сервера не перезагружают годами, по разным причинам он может не запуститься из за кривизны рук данного специалиста. Когда то установился антивирус касперского и без дополнительной настройке от него доступ потеряют, да и зачем на него что то ставить, отвалиться другое, а это потребует ремонт сервера или миграцию AD на другой контролер. Очень много ссылаются на нехватку ресурсов и времени прикрывая этим свою лень

Предполагаю если хорошо поискать много таких дыр найдется на пространстве СНГ, возможно легче будет посчитать у скольких компаний данная проблема устранена
Решения есть, но тут уже вопрос инфраструктуры и лени. Патча под 2008 нет и не будет (логично). У себя решил эту проблему (пока она была актуальна) настройкой Intrusion Prevention System фильтра на фаерволе. Ну а позже глобально решил путем апгрейда домена до 2019 и патчинга всего и вся.
Скажем так установка патчей на серверы иногда может принести проблемы (бекап\снапшот перед установкой никто не отменял), но получить проблему 1 раз в год лучше чем получить дырку в инфраструктуре.
 
02.03.2021
544
398
BIT
172
Решения есть, но тут уже вопрос инфраструктуры и лени. Патча под 2008 нет и не будет (логично). У себя решил эту проблему (пока она была актуальна) настройкой Intrusion Prevention System фильтра на фаерволе. Ну а позже глобально решил путем апгрейда домена до 2019 и патчинга всего и вся.
Скажем так установка патчей на серверы иногда может принести проблемы (бекап\снапшот перед установкой никто не отменял), но получить проблему 1 раз в год лучше чем получить дырку в инфраструктуре.
8d960045e560da4f7e3aebd20f92dc03.jpg


К великому сожалению далеко не все специалисты работают так же, Дмитрий ты скорее исключение. Они полагаются на авось
 
  • Нравится
Реакции: hoka
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!