Sikkerhetsdepartementet i USA (DHS) kom rett før helgen med et uvanlig nøddirektiv som egentlig er rettet til amerikanske, føderale virksomheter som drifter servere basert på Windows Server, men som nok også andre med samme systemer bør merke seg.
Varselet går ut på at systemadministratorer så raskt som mulig må installere en sikkerhetsoppdatering som Microsoft kom med allerede den 11. august til Windows Server-installasjoner som fungerer som domenekontroller i lokalnettverk.
Beordres til å oppdatere
For den virkelige målgruppen for direktivet, dreier det seg om en ordre. Samtlige berørte aktører må senest den 23. september melde tilbake til DHS-byrået Cybersecurity and Infrastructure Security Agency (CISA) at sikkerhetsoppdateringen er installert.
Sikkerhetsoppdateringen gjelder en sårbarhet som finnes i en sentral autentiseringskomponent i Active Directory, Microsoft Windows Netlogon Remote Protocol (MS-NRPC). Denne kan gjøre det mulig for ikke-autentiserte angripere som har nettverkstilgang til en domenekontroller, å fullstendig kompromittere alle identitetstjenestene i Active Directory.
Uakseptabel risiko
DHS-byråets Cybersecurity and Infrastructure Security Agency (CISA) mener sårbarheten, som kalles for ZeroLogon, utgjør en uakseptabel risiko om den ikke fjernes. Det er ingen andre måter å ufarliggjøre den på enn å umiddelbart installere sikkerhetsoppdateringen eller å fjerne berørte Windows-servere fra rollen som domenekontrollere. I alle fall Windows Server 2008 R2 og nyere er berørt.
Det skal være flere årsaker til dette direktivet, inkludert at angrepskode som utnytter sårbarheten er i omløp, skadepotensialet som utnyttelse av sårbarheten åpner for, samt at mange ikke har installert oppdateringen selv om det er mer enn 30 dager siden den ble utgitt.
Nøddirektivet er det fjerde i sitt slag som DHS har kommet med i år. I de siste 4–5 årene har antallet slike direktiver bare ligget på mellom 1 og 3 per år.
At norske virksomheter ikke er forberedt, er en bekymring