Zerologon: уязвимость в протоколе Netlogon позволяет захватить контроллер домена

[KL FC Bot 157]

В августовский «вторник обновлений» компания Microsoft закрыла несколько уязвимостей, среди которых была и CVE-2020-1472. В принципе, никто и не сомневался, что дыра в протоколе Netlogon со степенью серьезности «критическая» (по шкале CVSS она получила рейтинг 10 из 10) будет достаточно опасной. Но на днях исследователь Том Тервурт (Tom Tervoort) из компании Secura (человек, обнаруживший эту уязвимость) опубликовал подробное исследование и объяснил, почему эта уязвимость, названная Zerologon, столь опасна и как злоумышленники могут воспользоваться ей, чтобы захватить контроллер домена.

В чем суть уязвимости Zerologon?

По большому счету, уязвимость CVE-2020-1472 заключается в несовершенстве схемы криптографической аутентификации Netlogon Remote Protocol. Этот протокол используется для аутентификации пользователей и машин в сетях, построенных на базе домена. В частности, Netlogon служит и для удаленного обновления паролей компьютеров. Уязвимость позволяет злоумышленнику выдать себя за компьютер-клиент и заменить пароль контроллера домена (сервера, контролирующего всю сеть, в том числе запускающего службы Active Directory). В результате атакующий может получить права администратора домена.

Кто уязвим?

Уязвимость CVE-2020-1472 актуальна для компаний, сети которых построены на базе контроллеров доменов под управлением операционных систем Windows.

В частности, злоумышленники могут захватить контроллер домена на базе:

• всех версий Windows Server 2019, Windows Server 2016;
• всех вариантов Windows Server версии 1909;
• Windows Server версии 1903;
• Windows Server версии 1809 (Datacenter, Standard);
• Windows Server 2012 R2;
• Windows Server 2012;
• Windows Server 2008 R2 Service Pack 1.

Правда, для успешной атаки злоумышленникам сначала необходимо проникнуть в корпоративную сеть, но это не такая большая проблема — мы уже неоднократно слышали и об инсайдерских атаках, и о проникновениях через забытые сетевые розетки в общедоступных помещениях.

К счастью, пока нет информации о том, что уязвимость Zerologon когда-либо использовали в реальных атаках. Однако после публикации исследования в блоге компании Secura вокруг этой проблемы поднялся ажиотаж, который, скорее всего, привлек и внимание злоумышленников. Несмотря на то что исследователи не опубликовали работающий proof of concept, они не сомневаются, что злоумышленники смогут его создать, основываясь на патчах.

Как защититься от атак с использованием Zerologon?

Компания Microsoft выпустила патчи, закрывающие эту уязвимость для всех затронутых систем. Они доступны с начала августа этого года, так что если вы еще не обновились, то лучше поспешить. Кроме того, компания рекомендует отслеживать все попытки логина по уязвимой версии протокола и выявлять устройства, которые не поддерживают новую версию. В идеале эксперты Microsoft считают необходимым перевести контроллер домена в режим, в котором все устройства должны использовать безопасный вариант протокола Netlogon.

Обновления не делают этого в принудительном порядке, потому что Netlogon Remote Protocol используется не только в Windows, — есть множество устройств на базе других ОС, которые также полагаются на этот протокол. И далеко не все из них поддерживают его защищенный вариант. Если сделать использование безопасной версии обязательным, эти устройства не смогут корректно работать.

Тем не менее 9 февраля 2021 года контроллеры доменов переведут в этот режим в обязательном порядке, так что администраторам придется как-то решать проблему со сторонними устройствами до этой даты — обновлять или вручную прописывать в исключение. Подробнее о том, что делает августовский патч и что изменится после февральского, можно найти в материале Microsoft наряду с подробными гайдлайнами.

View the full article