เมื่อเดือนสิงหาคมที่ผ่านมา Microsoft ได้ออก Patch Tuesday 2020 เพื่อปิดช่องโหว่ CVE-2020-1472 Netlogon Elevation of Privilege Vulnerability ซึ่งเป็นช่องโหว่ที่อยู่ขั้นความเสี่ยงสูงสุด 10/10 โดยในขณะนั้นไม่มีการเปิดเผยรายละเอียดดังกล่าวสู่สาธารณะ แต่ล่าสุด Secura B.V. บริษัทด้านความปลอดภัยสัญชาติเนเธอร์แลนด์ ได้ให้รายละเอียดช่องโหว่ CVE-2020-1472 พร้อมกับเน้นย้ำว่าช่องโหว่ดังกล่าวนั้นเหมาะสมแล้วที่ถูกจัดอยู่ในความเสี่ยงระดับสูงสุด

CVE-2020-1472 ถูกเรียกว่า Zerologon เนื่องจากใช้การแอดตัวเลข “0” เข้าไปในขั้นตอนการทำ Netlogon authentication handshake ซึ่งเป็นการ Bypass การยืนยันตัวตนกับ domain controller ทำให้แฮกเกอร์สามารถเข้าถึงระบบเครือข่ายและสามารถยกระดับสิทธิ์ให้สามารถควบคุมเครือข่ายภายในรวมทั้งเครื่องคอมพิวเตอร์ทั้งหมดได้ ซึ่งมักจะเริ่มต้นด้วยการปิด security features ต่าง ๆ ใน Netlogon authentication ที่สำคัญการโจมตีนี้สามารถทำได้อย่างรวดเร็วโดยใช้เวลาเพียง 3 วินาที และไม่จำกัดจำนวนครั้งซึ่งจะส่งผลให้แฮกเกอร์สามารถใช้งาน Zerologon attack เพื่อเปลี่ยนรหัสผ่านของเครื่องคอมพิวเตอร์ทุกเครื่องที่อยู่ในโดเมน อย่างไรก็ตาม Zerologon มีข้อจำกัดคือจะไม่สามารถใช้โจมตีจากเครือข่ายภายนอกได้ ดังนั้น แฮกเกอร์จำเป็นต้องแฝงตัวเข้ามาในเครือข่ายภายในก่อนจึงจะเริ่มทำการโจมตี ซึ่งหากสามารถแฝงตัวเข้ามาได้ก็จะเท่ากับว่าสามารถควบคุม Windows domain ได้ทั้งระบบ

ในส่วนของ patch ที่ออกมานั้น ถูกแบ่งออกเป็น 2 เฟส ในเฟสแรกออกมาพร้อมกับ Patch Tuesday ในเดือนสิงหาคมที่ผ่านมา ซึ่งสามารถแก้ไขปัญหาได้ดีแต่ยังไม่สมบูรณ์ทั้งหมด ดังนั้น ขอแนะนำให้ผู้ใช้งานและผู้ดูแลระบบทำการอัปเดต Windows โดยด่วน ในส่วนของ patch ฉบับสมบูรณ์สำหรับช่องโหว่ตัวนี้คาดว่าจะมาอีกครั้งในช่วงเดือนกุมภาพันธ์ปี 2021

ที่มา: https://www.zdnet.com/article/zerologon-attack-lets-hackers-take-over-enterprise-networks/