Zerologon check (проверка)

Как вы слышали,  в августе 2020 года была обнаружена критическая уязвимость CVE-2020-1472 в протоколе проверки пользователя контроллером домена.

Критическая она потому, что для эксплуатации этой уязвимости достаточно оказаться в одной сети с контроллером домена.

Microsoft конечно же выпустил обновления, но кто ж их ставит, верно?

В сети есть скрипт, позволяющий провести проверку через эксплуатацию уязвимости, но это вряд ли считается нормальным методом проверки.

Поэтому я написал скрипт, который проверяет наличие требуемых обновлений на контроллерах домена Windows Server 2012 R2.

Список обновлений взят из статьи про уязвимость, а также Catalog MS, указывающего на более новые версии обновлений. В моем списке сентябрьское обновление, два августовских и перекрывающий их апдейт безопасности для Windows 2012 R2.

Обратите внимание, что для Windows 2016/2019 номера апдейтов другие!

Для запуска скрипта требуются права администратора домена, так как скрипт проходит по контроллерам и через WMI получает список установленных обновлений.

$updates="KB4577066","KB4571703","KB4571723","KB4578013";

Get-ADDomainController -filter * | sort name | %{
$result="initial";$hf=$null;
$hf=Get-HotFix -ComputerName $_.name | where{$updates -contains $_.hotfixid};
if($hf -eq $null){$result="WARNING"}
else{$result="";foreach($HFs in $HF){$result+=$HFs.HotfixID+";"}};
$_ | select Name, @{Name="Updates";Expression={$result}}}

Результатом работы скрипта является следующий вывод:

Name           Updates
----           -------
BAD-DC02 WARNING
GOOD-DC01 KB4571723;KB4578013;KB4577066;
GOOD-DC02 KB4571723;KB4578013;KB4577066;
MEDI-DC02 KB4571723;KB4571703;
MEDI-DC03 KB4578013;KB4571703;

WARNING означает, что нужно срочно бежать и ставить обновления.

Наличие сентябрьского обновления означает, что вы молодцы. Наличие августовских — ну не безнадежны, по крайней мере :-).

Zerologon check (проверка): 2 комментария

  1. Я правильно понимаю, что если сразу поставить сентябрьский пакет, то скрипт будет ругаться на отсутствие обновления?

Добавить комментарий для Андрей Вахитов Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *