Исследователи в области безопасности и правительство США призывают системных администраторов обратить внимание на критическую уязвимость с эскалацей привилегий в операционных системах Microsoft.
В рамках исследования были обнаружены эксплоиты, использующие дефект Windows, который может позволить злоумышленникам проникнуть на предприятия путем получения административных привилегий, давая им доступ к контроллерам доменов Active Directory.
Уязвимость «Zerologon» представляет собой баг с эскалацией привилегий (CVE-2020-1472) с рейтингом CVSS 10 из 10 (критическая). Этот дефект был устранен в выпуске обновлений безопасности Microsoft в августе 2020 года. Однако недавно на Github было выпущено как минимум четыре публичных эксплойта для этой уязвимости, а в пятницу исследователи из Secura (которые обнаружили баг) опубликовали технические подробности.
«Эта атака имеет огромное влияние: по сути, она позволяет любому злоумышленнику в локальной сети (например, злоумышленнику, который просто подключил устройство к локальному сетевому порту) полностью скомпрометировать домен Windows», - сообщили исследователи из Secura в пятничной статье. «Атака не требует аутентификации: атакующему не нужны никакие учетные данные пользователя».
Уязвимость использует протокол Netlogon Remote Protocol, доступный на контроллерах домена Windows, который используется для различных задач аутентификации пользователей и машин.
В частности, проблема в использовании шифрования AES-CFB8 для сессий Netlogon. Стандарт AES-CFB8 требует, чтобы каждый «байт» чистого текста имел рандомизированный вектор инициализации, блокирующий злоумышленникам возможность угадывать пароли. Однако функция Netlogon ComputeNetlogonCredential устанавливает вектор инициализации в фиксированное значение в 16 бит - не рандомизированное, это означает, что злоумышленник может контролировать расшифрованный текст.
В реальной атаке злоумышленники могли посылать ряд Netlogon сообщений, в которых различные поля заполнялись нулями, что позволяло им обойти эти меры аутентификации, получить доступ и изменить пароль контроллера домена, который хранится в Active Directory, отмечают исследователи.
«Из-за неправильного использования режима работы AES, можно подделать идентификатор любой учетной записи компьютера в домене (в том числе и учетной записи самого контроллера домена) и установить пустой пароль для этой учетной записи», - считают исследователи Secura.
Следует отметить, что для того, чтобы воспользоваться этой уязвимостью, злоумышленник должен будет запустить атаку с машины, находящейся в той же локальной сети, что и его цель, то есть ему уже нужно будет закрепиться в сети, на которую нацелена атака.
«Уязвимый клиент или контроллер домена, подключенный к Интернету, не может быть атакован сам по себе», - считают исследователи из компании Tenable, анализируя этот баг. «Атака требует, чтобы поддельный логин работал как обычная попытка входа в домен. Active Directory должна будет распознать подключающегося клиента как находящегося в его логической топологии, которой нет у внешних адресов».
По словам исследователей, если злоумышленникам удается воспользоваться этим недостатком, они могут выдать себя за идентификатор любой машины в сети при попытке аутентификации на контроллере домена, что позволяет проводить дальнейшие атаки, включая полный захват домена Windows.
«В гипотетической атаке можно использовать эту уязвимость для развертывания шифровальщиков по всей организации и поддержания постоянного плацдарма, если усилия по очистке и восстановлению пропустят какие-либо дополнительные вредоносные скрипты», - заявили исследователи Tenable. «Организации с сетевым резервным копированием могут оказаться в тупике, так как группа шифровальщиков, имея доступ ко всему домену, может легко уничтожить и сетевые резервные копии, чтобы увеличить вероятность выплаты выкупа со стороны организации-жертвы».
Учитывая наличие на GitHub как минимум четырех рабочих эксплойтов, исследователи в области безопасности и государственные органы США призывают администраторов убедиться в том, что они применяют августовские патчи Microsoft. Эти исправления решают эту проблему путем применения безопасного удаленного протокола Netlogon для всех серверов и клиентов Windows в домене.
Yeah, I can confirm that this public exploit for Zerologon (CVE-2020-1472) works. Anybody who has not installed the patch from August's Patch Tuesday already is going to be in much worse shape than they already were.https://t.co/SWK2hUDOYc https://t.co/0SDFfageQC pic.twitter.com/Lg8auMdtVU
— Will Dormann (@wdormann) September 14, 2020
Компания Microsoft со своей стороны решает проблему уязвимости поэтапным развертыванием. Начальная фаза развертывания началась с выпуска обновлений Windows 11 августа 2020 года, а вторая фаза, запланированная на первый квартал 2021 года, будет «фазой принудительного применения».
«DC будут переведены в режим принудительного применения обновления, который требует от всех устройств Windows и не-Windows использовать безопасный Remote Procedure Call с защищенным каналом Netlogon, добавляя исключение для любого несовместимого устройства», - сообщили в Microsoft.
Перевод сделан со статьи https://threatpost.com
