Инженеры компании Microsoft предупреждают, что хакеры начали эксплуатировать проблему Zerologon (CVE-2020-1472), исправленную в рамках августовского «вторника обновлений».
Microsoft is actively tracking threat actor activity using exploits for the CVE-2020-1472 Netlogon EoP vulnerability, dubbed Zerologon. We have observed attacks where public exploits have been incorporated into attacker playbooks.
— Microsoft Security Intelligence (@MsftSecIntel) September 24, 2020
Многие специалисты называют Zerologon самой опасной ошибкой текущего года, а в минувшие выходные Министерство внутренней безопасности США дало федеральным агентствам страны три дня на срочное исправление бага, в противном случае пригрозив отключением от федеральных сетей.
В августе 2020 года эту проблему описывали как повышение привилегий в Netlogon, набравшую 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Однако тогда детали уязвимости не разглашались. Лишь в середине текущего месяца эксперты голландской компании Secura BV раскрыли подробности о Zerologon, и вскоре в сети появились первые PoC-эксплоиты.
В сущности, уязвимость Zerologon опирается на слабый криптографический алгоритм, используемый в процессе аутентификации Netlogon. Проблему назвали Zerologon, так как атака осуществляется через добавление нулей в определенные аутентификационные параметры Netlogon, как видно на иллюстрации выше. В результате баг позволяет злоумышленнику манипулировать аутентификацией,а именно:
- выдать себя за любой компьютер в сети в ходе аутентификации на контроллере домена;
- отключить защитные механизмы в процессе аутентификации Netlogon;
- изменить пароль компьютера в Active Directory контроллера домена.
«Microsoft отслеживает активность злоумышленников, использующих эксплоиты для уязвимости CVE-2020-1472 в Netlogon EoP, получившей название Zerologon. Мы наблюдали атаки, в которых публично доступные эксплоиты были включены в стратегию злоумышленников», — пишут представители компании в Twitter.
Хотя Microsoft пока не обнародовала подробности об атаках, специалисты компании опубликовали хэши файлов эксплоитов, использованных в атаках.
Кроме того, в начале текущей недели стало известно, что Zerologon также представляет угрозу и для Samba при определенных обстоятельствах.
«Протокол netlogon содержит проблему, позволяющую обходить аутентификацию. Об этом сообщила Microsoft и исправила проблему, получившую идентификатор CVE-2020-1472. Поскольку ошибка обнаружена на уровне протокола, а Samba работает с его имплементацией, Samba также уязвима.
Однако, начиная с версии 4.8, выпущенной в марте 2018 года, Samba по умолчанию настаивает на безопасном входе в сеть, что является достаточным средством для противостояния известным эксплоитами. Значения по умолчанию эквивалентны наличию server schannel = yes в файле smb.conf.
Следовательно, версии 4.8 и выше не подвержены проблеме, если в них нет строк smb.conf server schannel = no или server schannel = auto. Samba версии 4.7 и ниже уязвимы, если в smb.conf не указано server schannel = yes.
Обратите внимание, что каждому контроллеру домена требуются правильные настройки smb.conf», — предупредили разработчики.