Binnen 3 seconden Game Over

Gepubliceerd op 16 september 2020 om 17:41
Binnen 3 seconden Game Over

Buiten het medeweten van velen, heeft Microsoft vorige maand een van de meest ernstige bugs hersteld die ooit aan het bedrijf zijn gemeld, een probleem dat misbruikt kon worden om gemakkelijk Windows-servers over te nemen die als domeincontrollers in bedrijfsnetwerken werden uitgevoerd.

Patch prioriteit 10

De bug is gepatcht in de Patch Tuesday van augustus 2020 onder de identifier van  CVE-2020-1472 . Het werd beschreven als een verhoging van bevoegdheden in  Netlogon , het protocol dat gebruikers verifieert tegen domeincontrollers.

De kwetsbaarheid kreeg de maximale prioriteit van 10, maar details werden nooit openbaar gemaakt, wat betekent dat gebruikers en IT-beheerders nooit wisten hoe gevaarlijk het probleem werkelijk was.

Maar 11 september in een  blogpost heeft het team van Secura BV, een Nederlands beveiligingsbedrijf, eindelijk de sluier van deze mysterieuze bug opgelicht en een technisch rapport gepubliceerd waarin CVE-2020-1472 dieper wordt beschreven.

En volgens het rapport is de bug echt zijn 10/10 CVSSv3-ernstscore waard.

Volgens Secura-experts maakt de bug, die ze  'Zerologon' noemden , gebruik van een zwak cryptografisch algoritme dat wordt gebruikt in het Netlogon-authenticatieproces.

Deze bug stelt een aanvaller in staat om Netlogon-authenticatieprocedures te manipuleren en:

  • zich voordoen als de identiteit van een computer in een netwerk wanneer u probeert te verifiëren met de domeincontroller
  • schakel beveiligingsfuncties uit in het Netlogon-verificatieproces
  • het wachtwoord van een computer wijzigen in de Active Directory van de domeincontroller (een database van alle computers die lid zijn van een domein, en hun wachtwoorden)

De kern, en de reden waarom de bug de naam Zerologon heeft gekregen, is dat de aanval wordt uitgevoerd door nul tekens toe te voegen aan bepaalde Netlogon-authenticatieparameters (zie onderstaande grafiek).

De Zerologon aanval, die in feite neerkomt op het invullen van bepaalde bericht parameters met
nullen en probeer de handshake een paar keer opnieuw om een ​​leeg computerwachtwoord op de DC in te stellen.

Vereenvoudigde Netlogon authenticatiehandshake

Aanval max 3 seconden

De hele aanval is erg snel en kan maximaal drie seconden duren. Bovendien zijn er geen grenzen aan hoe een aanvaller de Zerologon-aanval kan gebruiken. De aanvaller kan zich bijvoorbeeld ook voordoen als de domeincontroller zelf en zijn wachtwoord wijzigen, waardoor de hacker het hele bedrijfsnetwerk kan overnemen.

Er zijn beperkingen aan de manier waarop een Zerologon-aanval kan worden gebruikt. Om te beginnen kan het niet worden gebruikt om Windows-servers van buiten het netwerk over te nemen. Een aanvaller heeft eerst een voet aan de grond binnen een netwerk nodig.

Game over

Als aan deze voorwaarde is voldaan, is het letterlijk game over voor het aangevallen bedrijf.

"Deze aanval heeft een enorme impact", zei het Secura-team. "Het stelt in feite elke aanvaller op het lokale netwerk (zoals een kwaadwillende insider of iemand die simpelweg een apparaat heeft aangesloten op een lokale netwerkpoort) in staat om het Windows-domein volledig te compromitteren."

Bovendien is deze bug ook een zegen voor malware- en ransomware criminelen, die vaak afhankelijk zijn van het infecteren van één computer binnen het netwerk van een bedrijf en zich vervolgens naar meerdere andere verspreiden. Met Zerologon is deze taak aanzienlijk vereenvoudigd.

Geen gemakkelijke taak voor Microsoft

Maar het patchen van Zerologon was geen gemakkelijke taak voor Microsoft, aangezien het bedrijf moest aanpassen hoe miljarden apparaten verbinding maken met bedrijfsnetwerken, waardoor de activiteiten van talloze bedrijven effectief worden verstoord.

Dit patchproces vindt plaats in twee fasen. De eerste vond plaats vorige maand, toen Microsoft een tijdelijke oplossing voor de Zerologon-aanval uitbracht.

Deze tijdelijke patch maakte de Netlogon-beveiligingsfuncties (die Zerologon uitschakelde) verplicht voor alle Netlogon-authenticaties, waardoor Zerologon-aanvallen effectief werden verbroken.

Desalniettemin staat er een completere patch gepland voor februari 2021, voor het geval aanvallers een manier vinden om de patches van augustus te omzeilen. Helaas verwacht Microsoft dat deze latere patch de authenticatie op sommige apparaten zal verbreken. Enkele details over deze tweede patch zijn hier beschreven  .

Aanvallen met Zerologon zijn een gegeven, voornamelijk vanwege de ernst van de bug, de brede impact en de voordelen voor aanvallers.

Secura heeft geen proof-of-concept-code vrijgegeven voor een bewapende Zerologon-aanval, maar het bedrijf verwacht dat deze uiteindelijk naar boven zullen komen nadat het rapport zich vandaag online verspreidt.

In de tussentijd heeft het bedrijf een Python-script uitgebracht, een script dat beheerders kan vertellen of hun domeincontroller correct is gepatcht.

Zerologon V 1 0
PDF – 670,8 KB 414 downloads

Bron: zdnet.com, blackhatethicalhacking.com, secura.com