Эксплойты Windows Zerologon PoC позволяют перехватить домен

Candellmans

Команда форума
Сообщения
4,019
Реакции
6,471
Баллы
473
Windows


Исследователи выпустили эксплойты для уязвимости Windows Zerologon CVE-2020-1472, которые позволяют злоумышленнику получить контроль над доменом Windows. Установите патчи прямо сейчас!

В рамках обновлений безопасности во вторник августа 2020 года корпорация Майкрософт исправила критическую уязвимость системы безопасности с рейтингом 10/10, известную как « CVE-2020-1472 | Уязвимость Netlogon, связанная с повышением привилегий ».

После успешного использования этой уязвимости злоумышленники могут повысить свои привилегии до администратора домена и захватить домен.
С тех пор компания по кибербезопасности Secura, которая обнаружила эту уязвимость, опубликовала подробный отчет об уязвимости под названием Zerologon.

Злоупотребление криптографическими недостатками
Когда пользователь входит в систему Windows-устройства в домене, он использует протокол удаленного входа в сеть (MS-NRPC) через RPC для связи с контроллером домена и аутентификации пользователя.

Если пользователь входит в систему с правильными учетными данными, контроллер домена сообщает устройству разрешить аутентификацию с соответствующими разрешениями. Те, у кого неправильные учетные данные, очевидно, не смогут войти в систему.

Поскольку попытки аутентификации чувствительны, Windows отправляет запросы аутентификации через зашифрованное безопасное соединение RPC.
Исследователь Secura Том Тервоорт обнаружил, что можно заставить контроллеры домена вернуться к незашифрованной связи RPC при выполнении запросов аутентификации.

После возврата к незащищенной связи RPC, Tervoort мог использовать уязвимость в алгоритме криптографического согласования Netlogon AES-CFB8 , чтобы попытаться подделать успешный вход в систему.

В тестах Tervoort требуется в среднем 256 попыток для успешной подмены успешного входа в систему.
Эта манипуляция заставит устройство ввести пользователя в систему в качестве администратора домена.
Цикл атаки Zerologon

Zerologon Attack flow
Источник: Secura

Как только злоумышленник получает права администратора домена в сети, он получает полный доступ к контроллеру домена, может изменять пароли пользователей и выполнять любую команду по своему усмотрению.

Что делает эту уязвимость настолько пугающей, так это то, что злоумышленнику даже не нужны законные учетные данные в домене, но он может подделать ответы, чтобы любая попытка входа в систему была успешной.

«Нет необходимости ждать, пока какой-либо другой пользователь попытается войти в систему. Вместо этого злоумышленник может войти в систему, сделав вид, что поддерживает только NTLM, и предоставив неверный пароль. Служба, в которую они входят, перешлет подтверждение NTLM к контроллер домена и контроллер домена ответят отрицательным ответом. Затем это сообщение может быть заменено поддельным ответом (также содержащим пересчитанный ключ сеанса), указывающим, что пароль был правильным и, кстати, пользователь пытается войти в систему оказался членом группы администраторов домена (то есть у них также есть административные привилегии на целевой машине) », - объясняет Тервоорт в своем отчете о Zerologon .

Эта уязвимость особенно актуальна, когда речь идет об атаках программ-вымогателей, управляемых человеком, поскольку она позволяет злоумышленнику, закрепившемуся на одной рабочей станции, получить полный контроль над сетью через домен Windows.

«Эта уязвимость может быть особенно опасной, когда злоумышленник закрепился во внутренней сети, потому что она позволяет как повышать привилегии (для локального администратора), так и перемещаться по сторонам (получать RCE на других машинах в сети)», - предупредил Тервоорт.

Выпущены эксплойты Zerologon Proof-of-Concept
После публикации отчета Secura многие исследователи выпустили экспериментальные эксплойты, которые позволяют пользователю получить права администратора домена в уязвимой сети.

Рич Уоррен из NCC Group вчера выпустил PoC, который позволил ему получить администратора домена за десять секунд.

Исследователи выпустили дополнительные эксплойты [ 1 . 2 ], которые проводят аналогичные атаки на контроллеры домена.

Устранение уязвимости
Поскольку исправление уязвимости Zerologon может привести к неправильной аутентификации некоторых устройств, Microsoft выпускает исправление в два этапа.

Первый этап был выпущен 11 августа в виде обновления безопасности , которое предотвратит использование контроллерами домена Windows Active Directory незащищенной связи RPC.

Это обновление также будет регистрировать запросы проверки подлинности от устройств, отличных от Windows, которые не используют безопасную связь RPC, чтобы дать администраторам время исправить устройства или заменить их оборудованием, поддерживающим безопасный RPC.

9 февраля 2021 года в рамках обновлений Patch Tuesday Microsoft выпустит второе обновление, которое войдет в фазу принудительного применения, требующую, чтобы все устройства в сети использовали безопасный RPC, если это специально не разрешено администратором.

В связи с этим, администраторам Windows настоятельно рекомендуется развернуть первый этап исправления на контроллере домена Active Directory для защиты своей сети.

Secura выпустила инструмент, который позволяет вам проверить, уязвим ли ваш контроллер домена к уязвимости Zerologon (CVE-2020-1472).


Перевод с английского - Google

Эксплойты Windows Zerologon PoC позволяют перехватить домен. Патч сейчас!
По Лоуренс Абрамс
 
Последнее редактирование:
Сверху Снизу