Microsoft Defender for Identity теперь может обнаруживать эксплойты Zerologon

Фото: Pixabay

Недостатком Zerologon является ошибка обхода аутентификации в протоколе Netlogon Remote Protocol (MS-NRPC), который позволяет атаковать контроллеры домена Microsoft Active Directory, что позволяет хакеру выдавать себя за любой компьютер, включая корневой контроллер домена.

«Microsoft Defender for Identity может обнаружить эту уязвимость на ранней стадии», — сказал в своём блоге менеджер программы Microsoft Дэниел Наим. — «Он охватывает как аспекты эксплуатации, так и проверки трафика канала Netlogon».

Новое ПО будет отображать предупреждения, позволяющие администраторам идентифицировать устройство, которое предприняло попытку атаки, контроллер домена, целевой актив, а также были ли попытки атаки успешными. 

«Наконец, клиенты, использующие Microsoft 365 Defender, могут в полной мере воспользоваться мощью сигналов и предупреждений Microsoft Defender for Identity в сочетании с поведенческими событиями и обнаружениями из Microsoft Defender for Endpoint», — добавил Наим. — «Эта скоординированная защита позволяет не только наблюдать попытки использования Netlogon по сетевым протоколам, но также видеть процессы устройства и файловую активность, связанные с этой эксплуатацией».

Microsoft знала об уязвимости Netlogon с августа, когда выпустила обновление для контроллеров домена.

Вице-президент MSRC по разработке Анчал Гупта в своём блоге сказал, что компания «настоятельно рекомендует всем, кто не применил обновление, сделать этот шаг сейчас. Клиентам необходимо как применить обновление, так и следовать исходным инструкциям, описанным в KB4557222, чтобы гарантировать полную защиту от этой уязвимости».

Как сообщал Startpack, ранее Microsoft удалила 18 вредоносных расширений браузера Edge.