Sākumlapa » Apdraudējumi » Windows Zerologon konceptuālais ekspluatējums ļauj pārņemt domēna kontrolleri 10 sekundēs

Windows Zerologon konceptuālais ekspluatējums ļauj pārņemt domēna kontrolleri 10 sekundēs

Kiberdrošības pētnieki ir izlaiduši Windows Zerologon CVE-2020-1472 ievainojamības ekspluatējumus, kas ļauj uzbrucējam pārņemt kontroli pār Windows domēnu. Tāpēc kiberdrošības eksperti aicina sistēmu pārziņus neatlikt drošības ielāpu uzstādīšanu!

Ar 2020. gada augusta “ielāpu otrdienas” drošības atjauninājumiem Microsoft novērsa kritisku (10/10 punkti) drošības ievainojamību CVE-2020-1472 vai “Netlogon Elevation of Privilege Vulnerability”. Veiksmīgi izmantojot šo ievainojamību, uzbrucēji var paaugstināt savas pilnvaras un pārņemt domēnu savā kontrolē. Uņēmums Secura, kas atklāja šo ievainojamību, ir izlaidis detalizētu ievainojamības aprakstu un nosaucis to par Zerologon.

Kad lietotājs piesakās Windows domēna ierīcē, tas izmanto Netlogon Remote Protocol (MS-NRPC), izmantojot RPC, lai sazinātos ar domēna kontrolleri un autentificētu lietotāju. Ja lietotājs piesakās ar pareiziem pieejas datiem, domēna kontrolleris liek ierīcei atļaut autentifikāciju ar atbilstošām pilnvarām.

Tā kā autentifikācijas pieprasījumi ir sensitīvi dati, sistēma Windows nosūta autentifikācijas pieprasījumus, izmantojot šifrētu, drošu RPC savienojumu. Secura pētnieks Toms Tervūrts atklāja, ka, veicot autentifikācijas pieprasījumus, ir iespējams piespiest domēna kontrollerus veikt nešifrētu RPC saziņu, kas tālāk ar zināmu manipulāciju palīdzību ļauj uzbrucējam pieteikties sistēmā kā domēna administratoram.

Kad uzbrucējs tīklā iegūst domēna administratora pilnvaras, viņš iegūst pilnīgu piekļuvi domēna kontrollerim, var mainīt lietotāju paroles un izpildīt jebkuru komandu pēc izvēles. Šī ievainojamība var būt ļoti bīstama uzņēmumiem un iestādēm mūsdienu šifrējošo izspiedējvīrusu kontekstā, jo tā ļauj uzbrucējam, kurš ir iekļuvis vienā darbstacijā, iegūt pilnu kontroli pār Windows domēnu.

Ievainojamība CVE-2020-1472 ir bīstama uzņēmumiem un iestādēm, kuru datortīkli ir balstīti uz Windows domēnu kontrolleriem, kas darbojas ar sekojošām operētājsistēmām:

  • visas Windows Server 2019, Windows Server 2016 versijas;
  • visi Windows Server 1909 versijas varianti;
  • Windows Server versija 1903;
  • Windows Server versija 1809 (Datacenter, Standard);
  • Windows Server 2012 R2;
  • Windows Server 2012;
  • Windows Server 2008 R2 Service Pack 1.

Izlaisti Zerologon konceptuālie ekspluatējumi

Kopš Secura publikācijas daudzi pētnieki ir izlaiduši konceptuālo kodu, kas ļauj lietotājam iegūt domēna administratora pilnvaras neaizsargātā tīklā. Tā Ričs Vorens no NCC Group ir izlaidis konceptuālo kodu (PoC), kas ļauj viņam iegūt domēna administratora tiesības desmit sekundēs.

Ievainojamības labojums

Korporācija Microsoft ir izlaidusi ielāpus, lai novērstu ievainojamību visām ietekmētajām sistēmām. Tie ir pieejami kopš šī gada augusta sākuma, tādēļ, ja vēl neesat atjauninājuši savas sistēmas, vislabāk ir pasteigties. Turklāt uzņēmums iesaka uzraudzīt visus pieteikšanās mēģinājumus, kas izmanto protokola neaizsargāto versiju, un identificēt ierīces, kas neatbalsta jauno versiju. Ideālā gadījumā Microsoft eksperti uzskata par nepieciešamu iestatīt domēna kontrolleri režīmā, kurā visām ierīcēm jāizmanto drošā Netlogon protokola versija.

Atjauninājumi to nepiespiež, jo Netlogon Remote Protocol tiek izmantots ne tikai operētājsistēmā Windows – ir daudz ierīču, kuru pamatā ir citas operētājsistēmas un kuras arī paļaujas uz šo protokolu. Un ne visas no tām atbalsta aizsargāto versiju. Ja drošās versijas izmantošanu padarāt par obligātu, šīs ierīces nedarbosies korekti.

2021. g. gada 9. februārī ielāpu otrdienas (Patch Tuesday) atjauninājumu ietvaros Microsoft izlaidīs otro atjauninājumu, ar kuru visām tīkla ierīcēm būs jāizmanto drošs RPC, ja vien administrators nebūs atļāvis savādāk. Sīkāku informāciju par augusta ielāpa darbību un izmaiņām pēc februāra, kā arī detalizētas vadlīnijas, var atrast Microsoft materiālā.

Secura ir izlaidusi rīku, kas ļauj pārbaudīt, vai domēna kontrolleris satur Zerologon (CVE-2020-1472) ievainojamību.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 2 = 7

Uz augšu