На этой неделе выяснилось, что в прошлом месяце компания Microsoft исправила серьезнейшую уязвимость. Проблема имеет идентификатор CVE-2020-1472 и носит имя Zerologon. Баг позволяет захватывать Windows-серверы, работающие в качестве контроллеров домена в корпоративных сетях.

В августе 2020 года эту проблему описывали как повышение привилегий в Netlogon, набравшую 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Однако тогда детали уязвимости не разглашались.

Теперь специалисты голландской компании Secura BV, исходно обнаружившие баг, опубликовали отчет с его детальным описанием, и стало ясно, что проблема Zerologon не зря получила такую оценку. К отчету экспертов не приложен PoC-эксплоит, но приложен Python-скрипт, который можно использовать для проверки корректности настройки контроллера домена.

В сущности, уязвимость Zerologon опирается на слабый криптографический алгоритм, используемый в процессе аутентификации Netlogon. Проблему назвали Zerologon, так как атака осуществляется через добавление нулей в определенные аутентификационные параметры Netlogon, как видно на иллюстрации выше. В результате баг позволяет злоумышленнику манипулировать аутентификацией,а именно:

  • выдать себя за любой компьютер в сети в ходе аутентификации на контроллере домена;
  • отключить защитные механизмы в процессе аутентификации Netlogon;
  • изменить пароль компьютера в Active Directory контроллера домена.

Исследователи подчеркивают, что такая атака может занимать максимум три секунды. Кроме того, практически никаких ограничений у атаки нет: к примеру, злоумышленник может выдать себя за контроллер домена и изменить пароль, что позволит ему захватить всю корпоративную сеть.

К счастью,  Zerologon нельзя использовать удаленно, то есть атакующему сначала нужно каким-то образом проникнуть в сеть компании и закрепиться там. Однако если это произошло, Zerologon несет огромный риск. К примеру, такой баг может очень пригодиться операторам шифровальщиков, которые зачастую начинают атаку с заражения всего одного компьютера в сети компании, а затем стремятся распространить свое влияние на всю сеть.

«Эта атака имеет огромное влияние, — пишут эксперты Secura BV. — По сути, она позволяет любому злоумышленнику в локальной сети (например, инсайдеру или тому, кто подключил устройство к локальному сетевому порту), полностью скомпрометировать домен Windows».

Выпуск патчей для Zerologon оказался непростой задачей для Microsoft. Дело в том, что инженерам компании пришлось изменить способ, который миллиарды устройств используют для подключения к корпоративным сетям. В итоге процесс исправления бага был разделен на два этапа: первый этап уже завершился в августе 2020 года, когда Microsoft выпустила временное исправление. Этот временный патч сделал механизмы безопасности Netlogon (которые отключал Zerologon) обязательными для всех аутентификационных операций, что эффективно предотвращает атаки.

Релиз более полноценного патча для Zerologon запланирован на февраль 2021 года, на тот случай, если злоумышленники все же найдут способ обойти августовские исправления. К сожалению, специалисты Microsoft ожидают, что второй патч неминуемо вызовет проблемы с аутентификацией на некоторых устройствах.

Оставить мнение