Gry

Nowy exploit dla systemu Windows pozwala natychmiast zostać administratorem. Czy załatałeś?

Niedbale ubrany mężczyzna uśmiecha się obok odsłoniętych elementów komputera.

Badacze opracowali i opublikowali exploit służący do weryfikacji koncepcji dla niedawno załatanej luki w systemie Windows, która umożliwia dostęp do klejnotów koronnych organizacji – kontrolerów domeny Active Directory, które działają jako wszechmocny strażnik wszystkich maszyn podłączonych do sieci.

CVE-2020-1472, w miarę śledzenia luki, ma krytyczny wskaźnik ważności od firmy Microsoft, a także maksymalnie 10 w ramach wspólnego systemu oceny luk w zabezpieczeniach. Exploity wymagają, aby atakujący miał już przyczółek w docelowej sieci, jako nieuprzywilejowany insider lub w wyniku włamania do podłączonego urządzenia.

„Szalony” błąd o „ogromnym wpływie”

Takie exploity powstałe po włamaniu stają się coraz bardziej wartościowe dla atakujących rozpowszechniających oprogramowanie ransomware lub spyware szpiegowskie. Nakłanianie pracowników do klikania złośliwych łączy i załączników w wiadomościach e-mail jest stosunkowo łatwe. Korzystanie z tych komputerów w celu uzyskania cenniejszych zasobów może być znacznie trudniejsze.

Czasami eskalacja uprawnień niskiego poziomu do uprawnień potrzebnych do zainstalowania złośliwego oprogramowania lub wykonywania poleceń może zająć tygodnie lub miesiące. Wejdź do Zerologon, exploita opracowanego przez badaczy z firmy Secura. Umożliwia atakującym natychmiastowe przejęcie kontroli nad Active Directory. Stamtąd będą mogli robić wszystko, co zechcą, od dodawania nowych komputerów do sieci po zainfekowanie każdego z nich wybranym przez siebie złośliwym oprogramowaniem.

„Ten atak ma ogromny wpływ” – napisali naukowcy z Securą w opublikowanej w piątek białej księdze. „W zasadzie pozwala każdemu atakującemu w sieci lokalnej (np. Złośliwemu insiderowi lub komuś, kto po prostu podłączył urządzenie do lokalnego portu sieciowego) na całkowite przejęcie domeny Windows. Atak jest całkowicie nieuwierzytelniony: osoba atakująca nie potrzebuje żadnych poświadczeń użytkownika. ”

Badacze Secura, którzy odkryli lukę i zgłosili ją firmie Microsoft, powiedzieli, że opracowali exploita, który działa niezawodnie, ale biorąc pod uwagę ryzyko, nie publikują go, dopóki nie będą pewni, że łatka Microsoft została szeroko zainstalowana na podatnych na ataki serwerach. Naukowcy ostrzegli jednak, że nie jest trudno wykorzystać łatkę Microsoftu do pracy wstecz i tworzenia exploita. W międzyczasie oddzielni badacze z RiskSense opublikowali tutaj własny kod ataku typu proof-of-concept.

Wydanie i opis kodu exploita szybko zwróciło uwagę amerykańskiej agencji ds. Cyberbezpieczeństwa i infrastruktury, która pracuje nad poprawą cyberbezpieczeństwa na wszystkich szczeblach administracji. Twitter w poniedziałek też był wysadzanie komentarzami zwracając uwagę na zagrożenie, jakie stwarza luka.

„Zerologon (CVE-2020-1472), najbardziej szalona luka w historii!” napisał jeden użytkownik systemu Windows. „Uprawnienia administratora domeny natychmiast z nieuwierzytelnionego dostępu sieciowego do kontrolera domeny”.

„Pamiętasz coś o najmniej uprzywilejowanym dostępie i że nie ma znaczenia, czy kilka skrzynek zostanie złamanych?” Zuk Avraham, badacz, który jest założycielem i prezesem firmy ochroniarskiej ZecOps, napisał. „No cóż… CVE-2020-1472 / #Zerologon zasadniczo zmieni Twoje zdanie”.

Klucze do królestwa

Zerologon działa, wysyłając ciąg zer w serii wiadomości, które używają protokołu Netlogon, na którym serwery Windows polegają w różnych zadaniach, w tym umożliwianiu użytkownikom końcowym logowania się do sieci. Osoby bez uwierzytelnienia mogą wykorzystać exploita do uzyskania poświadczeń administracyjnych domeny, o ile atakujący mają możliwość nawiązania połączeń TCP z kontrolerem domeny, który jest podatny na ataki.

Luka w zabezpieczeniach wynika z implementacji AES-CFB8 w systemie Windows lub wykorzystania protokołu kryptografii AES ze sprzężeniem zwrotnym szyfru do szyfrowania i sprawdzania poprawności wiadomości uwierzytelniających przechodzących przez sieć wewnętrzną.

Aby AES-CFB8 działał poprawnie, tak zwane wektory inicjalizacyjne muszą być unikalne i generowane losowo z każdą wiadomością. Windows nie spełnił tego wymagania. Zerologon wykorzystuje to pominięcie, wysyłając komunikaty Netlogon zawierające zera w różnych starannie wybranych polach. Zapis Secura zawiera szczegółowe informacje na temat przyczyny luki i pięciostopniowego podejścia do jej wykorzystania.

W oświadczeniu Microsoft napisał: „Aktualizacja zabezpieczeń została wydana w sierpniu 2020 r. Klienci, którzy zastosują tę aktualizację lub mają włączone aktualizacje automatyczne, będą chronieni”.

Jak wspomniano w niektórych uwagach na Twitterze, niektórzy przeciwnicy mogą bagatelizować powagę, mówiąc, że za każdym razem, gdy atakujący zdobędą pozycję w sieci, gra już się kończy.

Argument ten jest sprzeczny z zasadą kompleksowej obrony, która opowiada się za tworzeniem wielu warstw ochrony, które przewidują udane naruszenia i tworzą nadmiarowości w celu ich złagodzenia.

Administratorzy są, co zrozumiałe, ostrożni podczas instalowania aktualizacji, które mają wpływ na składniki sieci tak wrażliwe, jak kontrolery domeny. W takim przypadku może wystąpić większe ryzyko w przypadku niezainstalowania niż zainstalowania wcześniej, niż mogłoby się to podobać. Organizacje z podatnymi na ataki serwerami powinny zebrać wszelkie potrzebne zasoby, aby mieć pewność, że ta poprawka zostanie zainstalowana raczej wcześniej niż później.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook