На этой неделе выяснилось, что в прошлом месяце компания Microsoft исправила серьезнейшую уязвимость. Проблема имеет идентификатор CVE-2020-1472 и носит имя Zerologon. Баг позволяет захватывать Windows-серверы, работающие в качестве контроллеров домена в корпоративных сетях.
В августе 2020 года эту проблему описывали как повышение привилегий в Netlogon, набравшую 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Однако тогда детали уязвимости не разглашались.
Теперь специалисты голландской компании Secura BV, исходно обнаружившие баг, опубликовали отчет с его детальным описанием, и стало ясно, что проблема Zerologon не зря получила такую оценку. К отчету экспертов не приложен PoC-эксплоит, но приложен Python-скрипт, который можно использовать для проверки корректности настройки контроллера домена.
В сущности, уязвимость Zerologon опирается на слабый криптографический алгоритм, используемый в процессе аутентификации Netlogon. Проблему назвали Zerologon, так как атака осуществляется через добавление нулей в определенные аутентификационные параметры Netlogon, как видно на иллюстрации выше. В результате баг позволяет злоумышленнику манипулировать аутентификацией,а именно:
К счастью, Zerologon нельзя использовать удаленно, то есть атакующему сначала нужно каким-то образом проникнуть в сеть компании и закрепиться там. Однако если это произошло, Zerologon несет огромный риск. К примеру, такой баг может очень пригодиться операторам шифровальщиков, которые зачастую начинают атаку с заражения всего одного компьютера в сети компании, а затем стремятся распространить свое влияние на всю сеть.
Релиз более полноценного патча для Zerologon запланирован на февраль 2021 года, на тот случай, если злоумышленники все же найдут способ обойти августовские исправления. К сожалению, специалисты Microsoft ожидают, что второй патч неминуемо вызовет проблемы с аутентификацией на некоторых устройствах.
В августе 2020 года эту проблему описывали как повышение привилегий в Netlogon, набравшую 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Однако тогда детали уязвимости не разглашались.
Теперь специалисты голландской компании Secura BV, исходно обнаружившие баг, опубликовали отчет с его детальным описанием, и стало ясно, что проблема Zerologon не зря получила такую оценку. К отчету экспертов не приложен PoC-эксплоит, но приложен Python-скрипт, который можно использовать для проверки корректности настройки контроллера домена.
В сущности, уязвимость Zerologon опирается на слабый криптографический алгоритм, используемый в процессе аутентификации Netlogon. Проблему назвали Zerologon, так как атака осуществляется через добавление нулей в определенные аутентификационные параметры Netlogon, как видно на иллюстрации выше. В результате баг позволяет злоумышленнику манипулировать аутентификацией,а именно:
- выдать себя за любой компьютер в сети в ходе аутентификации на контроллере домена;
- отключить защитные механизмы в процессе аутентификации Netlogon;
- изменить пароль компьютера в Active Directory контроллера домена.
К счастью, Zerologon нельзя использовать удаленно, то есть атакующему сначала нужно каким-то образом проникнуть в сеть компании и закрепиться там. Однако если это произошло, Zerologon несет огромный риск. К примеру, такой баг может очень пригодиться операторам шифровальщиков, которые зачастую начинают атаку с заражения всего одного компьютера в сети компании, а затем стремятся распространить свое влияние на всю сеть.
Выпуск патчей для Zerologon оказался непростой задачей для Microsoft. Дело в том, что инженерам компании пришлось изменить способ, который миллиарды устройств используют для подключения к корпоративным сетям. В итоге процесс исправления бага был разделен на два этапа: первый этап уже завершился в августе 2020 года, когда Microsoft выпустила временное исправление. Этот временный патч сделал механизмы безопасности Netlogon (которые отключал Zerologon) обязательными для всех аутентификационных операций, что эффективно предотвращает атаки.
Релиз более полноценного патча для Zerologon запланирован на февраль 2021 года, на тот случай, если злоумышленники все же найдут способ обойти августовские исправления. К сожалению, специалисты Microsoft ожидают, что второй патч неминуемо вызовет проблемы с аутентификацией на некоторых устройствах.