Alla som har ett stort intresse för IT-säkerhet kanske redan har läst om ZeroLogon – CVE-2020-1472 som publicerades i augusti. Men även om det var tydligt att detta är en kritisk sårbarhet (den fick en CVSS-poäng på 10,0 från Microsoft!) – så har jag känt att denna inte fått den exponering den förtjänar.
Jag påmindes av våra vänner på SIQ (Matevž Mesojednik) att det finns exempelkod tillgänglig på GitHub. Detta ska dock inte betraktas som en fullständig fungerande PoC-exploit utan snarare kan den användas för att testa om dina datacenter-enheter är sårbara för denna. Men den är publik och den kan användas av skadliga aktörer som enkelt kan förvandla den till skadlig kod.
På Twitter finns det en hel del inlägg som delar sina egna versioner av PoC som kan användas.
Vad ZeroLogon gör
THE ATTACK TAKES ADVANTAGE OF FLAWS IN CRYPTOGRAPHIC AUTHENTICATION PROTOCOL THAT PROVES THE AUTHENTICITY AND IDENTITY OF A DOMAIN-JOINED COMPUTER TO THE DC. DUE TO INCORRECT USE OF AN AES MODE OF OPERATION, IT IS POSSIBLE TO SPOOF THE IDENTITY OF ANY COMPUTER ACCOUNT (INCLUDING THAT OF THE DC ITSELF) AND SET AN EMPTY PASSWORD FOR THAT ACCOUNT IN THE DOMAIN
SECURA, WHITEPAPER
Det betyder att felet i kryptofunktionen inte använder Secure NRPC och NetLogon signering. Klienter som ansluter kan utelämna en inställning i NetrServerAuthenticate3 som gör att den tillåts ansluta utan signeringen.
För en detaljerad förklaring, se länk i Github ovan.
Vad ZeroLogon innebär
Med andra ord betyder detta att en angripare som kan skapa en TCP-anslutning till sårbara datacenter kan utnyttja denna sårbarhet. Så inga domänuppgifter behövs alls. Till exempel kan en angripare också helt enkelt ansluta en enhet till en lokal nätverksport och utföra en framgångsrik attack. Inga credentials behövs.
Vad du borde göra
Patchen som adresserar problemet med Secure NRPC släpptes redan den 11 augusti i år. I februari 2021 kommer Microsoft även att börja använda Secure NRPC på alla Windows-enheter, vilket kräver att en administratör uppdaterar, avvecklar eller tillåter (vitlistar) enheter som inte har stöd för Secure NRPC.
- Var noga med att installera uppdateringarna som släpptes i MS patchen i augusti 2020
- När du har installerat säkerhetsuppdateringarna kan du distribuera domänkontrollantens enforcement mode nu eller vänta på Q1 2021-uppdateringen. Var försiktig med denna, här kan saker gå sönder! Läs mer här: https://support.microsoft.com/kb/4557222
Om du bara installerar augusti-korrigeringen är du fortfarande skyddad mot sårbarheten, men du måste övervaka eventuella problem som uppdateringen kan orsaka.
Slutsats: ZeroLogon
Det är förvånande att detta inte fick mycket uppmärksamhet förrän nyligen, även om sårbarheten varit känd så länge. Genom att sprida budskapet kommer fler IT-administratörer att kunna korrigera sina miljöer och skydda sina tillgångar. Vi måste också vara medvetna om att denna korrigeringsfunktion kan orsaka vissa potentiella problem i IT-miljöer när den en gång har använts eftersom någon omfattande testning inte kunnat genomföras på så kort tid. Så fortsätt att övervaka dina tillgångar när du har applicerat denna korrigeringsfil och läs Microsoft KB-länkade i den här bloggen för att förstå hur du följer den nya Secure NRPC så snart som möjligt.