Duża dziura - czyli każdy kto ma dostęp do sieci, może pozyskać hasło kontrolera domeny.

CVE-2020-1472

Badacze firmy Secura opracowali i opublikowali exploit proof-of-concept dla niedawno załatanej luki w systemie Windows, która umożliwia dostęp do trzewia organizacji - kontrolerów domeny Active Directory, które - działają jak swoisty strażnik wszystkich maszyn podłączonych do sieci.

Bug CVE-2020-1472, od początku śledzenia tej podatności, ma nadany przez firmę Microsoft krytyczny wskaźnik ważności oraz uzyskał maksymalne 10 punktów w ramach Common Vulnerability Scoring System”. Exploity wymagają jedynie, aby atakujący miał już przyczółek w docelowej sieci, na przykład jako nieuprzywilejowany insider czy też po prostu w wyniku włamania do podłączonego do tej sieci urządzenia.

„Szalony” błąd o „ogromnym wpływie”

Takie exploity są bezcenne dla atakujących, którzy rozpowszechniają oprogramowanie ransomware czy różnego rodzaju oprogramowanie szpiegowskie. Nakłanianie pracowników do klikania złośliwych łączy i załączników w wiadomościach e-mail jest stosunkowo łatwe i – choć może trudno w to uwierzyć - nadal skuteczne w 2020 roku. Korzystanie z tak przejętych komputerów w celu uzyskania cenniejszych zasobów jest już jednak znacznie trudniejsze.

Czasami eskalacja uprawnień niskiego poziomu do uprawnień potrzebnych do zainstalowania złośliwego oprogramowania lub wykonywania poleceń może więc zająć tygodnie lub miesiące. Zerologon, exploit opracowanego przez Secura, umożliwia atakującym natychmiastowe przejęcie kontroli nad Active Directory. Stamtąd będą mogli robić wszystko, co zechcą, od dodawania nowych komputerów do sieci po zainfekowanie każdego z nich wybranym przez siebie złośliwym oprogramowaniem.

Poczekali z publikacją

Secura twierdzi, że skutki wykorzystania ich exploita trudno przecenić.

Pozwala on w zasadzie każdemu atakującemu w sieci lokalnej na całkowite przejęcie domeny Windows. Atak jest zupełnie nieuwierzytelniony: osoba atakująca nie potrzebuje żadnych poświadczeń użytkownika

Badacze Secura, którzy odkryli lukę i zgłosili ją Microsoftowi, powiedzieli, że opracowali exploita, który działa niezawodnie, ale biorąc pod uwagę ryzyko, nie wypuszczą go, dopóki nie będą pewni, że łatka Microsoft została zainstalowana na podatnych na ataki serwerach. Naukowcy ostrzegli jednak, że nie jest trudno wykorzystać łatkę Microsoftu w ramach inżynierii wstecznej ([i]reverse engineering) i samemu stworzyć exploita. W międzyczasie także inne firmy zajmujące się bezpieczeństwem, opublikowały własny kod ataku typu proof-of-concept.

Wydanie i opis kodu exploita szybko zwróciło uwagę amerykańskiej agencji ds. Bezpieczeństwa Cybernetycznego i Infrastruktury, która pracuje nad poprawą cyberbezpieczeństwa na wszystkich szczeblach administracji.

Zasada działania

Zerologon działa, wysyłając ciąg zer w serii komunikatów, które używają protokołu Netlogon. Protokół ten służy serwerom Windows do wykonywania różnych zadań, w tym umożliwiania użytkownikom końcowym logowania się do sieci. Osoby bez uwierzytelnienia mogą wykorzystać exploita do uzyskania poświadczeń administracyjnych domeny, o ile atakujący mają możliwość nawiązania połączeń TCP z kontrolerem domeny, który jest podatny na ataki.

Luka w zabezpieczeniach wynika z implementacji AES-CFB8 w systemie Windows i wykorzystania protokołu kryptografii AES z cipher feedback do szyfrowania i sprawdzania poprawności wiadomości uwierzytelniających przechodzących przez sieć wewnętrzną. Aby AES-CFB8 działał poprawnie, tak zwane wektory inicjalizacyjne muszą być unikalne i generowane losowo z każdą wiadomością. System Windows nie spełniał tego wymagania. Zerologon wykorzystuje tą niedbałość, wysyłając komunikaty Netlogon zawierające zera w różnych starannie wybranych polach.

Administrując Windowsami nie można się więc nudzić. A ile można zarobić? Tego możesz się dowiedzieć odpowiadając na jedną z naszych ofert pracy dla administratorów tego systemu.