TECHNOLOGIE

Zerologon: hrozba pro podnikové sítě

Zerologon: hrozba pro podnikové sítě

Microsoft potichu opravil jednu z nejzávažnějších chyb, které byly společnosti minulý měsíc hlášeny. Tuto chybu lze využít ke snadnému převzetí kontroly nad servery Windows, které v podnikových sítích fungují jako řadiče domény.

CERT-FR varuje

CERT-FR také varuje před závažností tohoto nedostatku a vydává o něm bulletin. Odkazuje na stávající dokumentaci a vybízí správce k distribuci oprav.

“Pokud jste nerozdělili soubory oprav publikované k dispozici 11. srpna 2020, je nutné je neprodleně použít a provést kontroly v informačním systému, aby se zjistil možný kompromis.” “

Chyba byla opravena v Patch Tuesday v srpnu 2020 pod identifikátorem CVE-2020-1472. Je popsáno jako zvýšení oprávnění Netlogon, protokolu, který ověřuje uživatele proti řadičům domény.

Této chybě zabezpečení byla přiřazena maximální závažnost 10, ale podrobnosti nebyly zveřejněny. Což znamená, že uživatelé a správci nikdy nevěděli, jak nebezpečný problém to je.

Několik nul k převzetí kontroly

Tým z holandské bezpečnostní společnosti Secura BV ale nakonec závoj uvolnil vydáním technické zprávy podrobněji popisující CVE-2020-1472, byl v pondělí oznámen na svém blogu. Podle jejich výzkumu je tento nedostatek opravdu hodný hodnocení obtížnosti 10/10 CVSSv3.

Odborníci na Securu tuto zranitelnost nazvali Zerologon. Zjistili, že využívá slabý kryptografický algoritmus používaný v procesu ověřování Netlogon.

Umožňuje tedy potenciálnímu útočníkovi manipulovat s postupy ověřování Netlogon, ale také:

  • napodobování jakéhokoli počítače v síti při pokusu o autentizaci k řadiči domény;
  • zakázat bezpečnostní zařízení v procesu ověřování Netlogon;
  • změnit heslo pro počítač ve službě Active Directory pro řadič domény (databáze všech počítačů připojených k doméně a jejich heslo).

Závěr a důvod, proč byla chyba pojmenována Zerologon, je ten, že útok se provádí přidáním znaku nula (0) v některých nastaveních autentizace Netlogon (viz obrázek níže).

zerologon-attack.png

Obrázek: Secura.

Celý útok pokračuje velmi rychle a může trvat maximálně tři sekundy. Útočník jej nemůže nijak omezit. Může například také předstírat, že je sám řadičem domény, a změnit si heslo, aby mohl převzít kontrolu nad celou firemní sítí.

Převezměte kontrolu nad podnikovou sítí za tři sekundy

Používání útoku Zerologon má však určitá omezení. Nejprve jej nelze použít k převzetí kontroly nad servery Windows mimo síť. Útočník se musí nejprve prosadit v síti. Když je ale tato podmínka splněna, je to pro napadenou společnost doslova konec hry.

„Tento útok má obrovský dopad,“ varuje tým Secura. „Umožňuje každému útočníkovi v místní síti (například zlomyslnému zaměstnanci nebo někomu, kdo jednoduše připojil zařízení k síťovému portu na místě), zcela ohrozit doménu Windows. “

Kromě toho je tato chyba také přínosem pro skupiny kyberzločinců, kteří se často spoléhají na infikování počítače v podnikové síti a jeho následné šíření několika dalším. Se Zerologonem byl tento úkol značně zjednodušen.

K dispozici je nášivka – další teprve přijdou

Vydání aktualizace oprav pro Zerologon však nebylo pro Microsoft snadné – muselo to změnit způsob, jakým se miliardy zařízení připojují k podnikovým sítím, což narušilo provoz bezpočtu společností.

Oprava je plánována ve dvou fázích. První se stalo minulý měsíc, kdy byla vydána prozatímní oprava aktuálního útoku. Učinil bezpečnostní funkce Netlogonu (které Zerologon deaktivoval) povinnými pro veškerou autentizaci a zablokoval tak tyto útoky.

Nicméně komplexnější oprava je naplánována na únor 2021, pouze pokud útočníci najdou cestu kolem ochranných opatření zavedených v srpnu. Microsoft bohužel počítá s tím, že nejnovější oprava nakonec na některých zařízeních způsobí problémy s ověřováním. Podrobnosti o tomto druhém patche však zatím nejsou veřejné.

Chyba, kterou je třeba zneužít

Útočníci pravděpodobně využijí zranitelnost Zerologon, a to hlavně kvůli její závažnosti, dopadu a výhodám, které poskytují.

Secura nezveřejnila žádný důkaz koncepčního kódu pro útok Zerologon, ale očekávají, že se tyto kódy objeví poté, co se jeho zpráva dostane online.

Podle CERT-FR již byly kódy vykořisťování publikovány online, což znamená, že útočníci mohou snadno zneužít nedostatek škodlivých útoků.

Mezitím Secura vydala skript Pythonu, který ukazuje, zda byly řadiče domény správně opraveny.

Zdroj: ZDNet.com

Botón volver arriba

Byl zjištěn blokovač reklam

Chcete-li nadále používat naši webovou stránku, musíte odstranit BLOKOVÁNÍ REKLAMY. DĚKUJEME