• Security Incident?
  • +31 88 000 2000
  • +31 88 000 2020
  • support@access42.nl
Access42 logoAccess42 logoAccess42 logoAccess42 logo
  • HOME
  • DIENSTEN
    • CYBER DEFENSE CENTER
      • Prepare
      • Detect
      • Prevent
      • Respond
      • Predict
    • DIENSTEN
      • Incident Response
      • Penetratietest (Pentest)
      • Red Teaming aanval
      • Cyber Security Assessment (CSA)
    • MANAGED SERVICES / OPLOSSINGEN
      • Nessus
      • CyberTIM
      • CyberTIM Detect voor Microsoft 365
      • Container Security CSI.2030
      • Vulnerability Management
        • Vulnerability Management
        • Web App Scanning
        • OT Security
      • Phishing & Triage
      • Brand Exploit Protect
      • E-Mail Security, Continuity & Archiving
        • E-mail Security 3.0
      • Endpoint Detection & Response (EDR)
      • Netwerk Detectie & Response (NDR)
        • Klaar om de controle over Microsoft (Office) 365-beveiliging terug te nemen?
        • AI-powered netwerk detectie en response
      • Thycotic – Privileged Access Management
      • Security Monitoring / SOC
  • ACCESS42
    • Over ons
    • Werken bij Access42
    • Partners
    • Disclaimer & Privacy Policy
  • EVENTS
  • NIEUWS
    • COVID-19
    • Nieuws
  • CONTACT
    • Contact
    • Incident Response
    • Inschrijven Nieuwsbrief
BUY NESSUS
  • Home
  • Nieuws
  • Nieuws
  • CVE-2020-1472: ‘Zerologon’ Vulnerability in Netlogon Could Allow Attackers to Hijack Windows Domain Controller

CVE-2020-1472: ‘Zerologon’ Vulnerability in Netlogon Could Allow Attackers to Hijack Windows Domain Controller

22 september 2020
Categories
  • Nieuws
Tags
  • cve-2020-1472
  • netlogon
  • secura
  • Tenable
  • zerologon

Beveiligingsonderzoekers onthullen hoe het cryptografische authenticatieschema in Netlogon kan worden gebruikt om de controle over een Windows-domeincontroller (DC) over te nemen.

Achtergrond

Op 11 september publiceerden onderzoekers van ons collega security bedrijf Secura een blogpost voor een kritische kwetsbaarheid die ze “Zerologon” hebben genoemd. De blogpost bevat een whitepaper waarin de volledige impact en uitvoering van de kwetsbaarheid wordt uitgelegd, geïdentificeerd als CVE-2020-1472, die een CVSSv3-score van 10.0, de maximale score, heeft gekregen. Zerologon werd gepatcht door Microsoft in de augustus Patch Tuesday ronde van updates. Deze openbaarmaking volgt op een eerdere Netlogon gerelateerde kwetsbaarheid, CVE-2019-1424, die Secura eind vorig jaar in detail heeft beschreven.

Analyse

CVE-2020-1472 is een privilege escalation kwetsbaarheid als gevolg van het onveilige gebruik van AES-CFB8 encryptie voor Netlogon sessies. De AES-CFB8 standaard vereist dat elke byte van platte tekst, zoals een wachtwoord, een gerandomiseerde Initialisatie Vector (IV) moet hebben zodat wachtwoorden niet geraden kunnen worden. De ComputeNetlogonCredential functie in Netlogon zet de IV op een vaste 16 bits, wat betekent dat een aanvaller de ontcijferde tekst kan controleren. Een aanvaller kan deze fout uitbuiten om de identiteit van eender welke machine op een netwerk na te bootsen wanneer hij zich probeert te authenticeren bij de Domain Controller (DC). Verdere aanvallen zijn dan mogelijk, inclusief de volledige overname van een Windows-domein. Secura’s whitepaper merkt ook op dat een aanvaller eenvoudigweg het ‘secretsdump’ script van Impacket zou kunnen uitvoeren om een lijst van gebruikershashes uit een doel-DC te halen.

Om deze kwetsbaarheid uit te buiten, zou de aanvaller de aanval moeten lanceren vanaf een machine op hetzelfde Local Area Network (LAN) als zijn doelwit. Een kwetsbare cliënt of DC die aan het internet wordt blootgesteld, is op zichzelf niet exploiteerbaar. De aanval vereist dat de gespoofde login werkt als een normale inlogpoging op een domein. Active Directory (AD) zou de verbindende client moeten herkennen als zijnde binnen zijn logische topologie, welke externe adressen niet zouden hebben.

Image source: Secura CVE-2020-1472 Whitepaper

Proof of Concept

Er zijn verschillende proofs of concept (PoC’s) gepubliceerd voor GitHub [1] [2] [3] [4] die een brede interesse en experimenten in de hele security community laten zien. Onderzoekers zijn snel aan het werk geweest om een succesvolle exploitatie te bevestigen. Kritische en opvallende kwetsbaarheden krijgen vaak brede belangstelling van zowel security onderzoekers als aanvallers.

Bij een hypothetische aanval zou men deze kwetsbaarheid kunnen gebruiken om ransomware in een organisatie in te zetten en een blijvende aanwezigheid te behouden als de schoonmaak- en herstelwerkzaamheden geen extra kwaadaardige scripts bevatten. Organisaties met back-ups die toegankelijk zijn voor het netwerk zouden een “perfect storm” kunnen veroorzaken als een ransomwaregroep back-ups vernietigt om de kans op uitbetaling door de slachtofferorganisatie te vergroten.

Oplossing

Het toepassen van de Patch Tuesday update van augustus vam Microsoft’s Advisory zal de kwetsbaarheid verhelpen door remote procedure calls (RPC) in het protocol Netlogon voor alle apparaten van Windows af te dwingen. Access42 moedigt zowel gebruikers als admins sterk aan om deze patch zo snel mogelijk toe te passen.

Yeah, I can confirm that this public exploit for Zerologon (CVE-2020-1472) works. Anybody who has not installed the patch from August's Patch Tuesday already is going to be in much worse shape than they already were.https://t.co/SWK2hUDOYc https://t.co/0SDFfageQC pic.twitter.com/Lg8auMdtVU

— Will Dormann (@wdormann) September 14, 2020

Gebruikers moeten zich ervan bewust zijn dat Microsoft op 9 februari 2021 een herziening van dit advies uitbrengt en dat, zodra de enforcement fase begint, de enforcement mode voor alle niet-Windows apparaten vereist zal zijn. Beheerders kunnen handmatig specifieke apparaten toestaan via het groepsbeleid voor legacy-apparaten.

Kwetsbare systemen identificeren

Een lijst van Tenable plugins om deze kwetsbaarheid te identificeren is hier te vinden. Tenable zal ook extra plugins vrijgeven voor de update van 9 februari 2021. Een compliance-auditbestand, dat hier beschikbaar is, kan worden gebruikt om ervoor te zorgen dat de FullSecureChannelProtection registersleutelwaarde in het groepsbeleid voor de DC wordt vastgelegd. De fix van augustus 2020 zou deze registersleutel moeten instellen nadat de patch met succes is toegepast.

Tenable heeft ook Microsoft Netlogon Elevation of Privilege uitgebracht, een niet-geauthenticeerde plugin voor klanten die hun DC’s willen scannen om de exploiteerbaarheid te testen. Deze plugin probeert zich te authenticeren naar het doelwit met behulp van een all zero client credential na het verstrekken van een all zero client challenge. Op kwetsbare doelen zal dit gemiddeld eens in de 256 pogingen lukken, en deze plugin zal dit tot 2000 keer proberen om na te gaan of het doelwit kwetsbaar is. Vanwege het aantal aanmeldingspogingen dat nodig is om de exploiteerbaarheid van een doelwit nauwkeurig te controleren, raadt Access42 aan deze plugin niet naast andere plugins in een scan uit te voeren, aangezien deze bedoeld is voor single-target Domain Controller scans. Om de plugin in te schakelen, moeten gebruikers de instelling ‘Only use credentials provided by the user’ onder de sectieBrute Force in de Assessment opties in hun scanconfiguratie uitschakelen.

Meer informatie

  • Tenable’s August 2020 Patch Tuesday Blog
  • Secura’s Zerologon Whitepaper
  • Microsoft Guidance on “How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472
Delen
2

Related posts

17 december 2020

Happy Holidays!

Read more
15 december 2020

Solorigate: SolarWinds Orion Platform bevat sinds maart 2020 een “achterdeur” (SUNBURST)

Read more
4 november 2020

CVE-2020-15999, CVE-2020-17087: Google Chrome FreeType and Microsoft Windows Kernel Zero Days Exploited in the Wild

Read more

Access42 B.V.
Leusderend 38
3832RC LEUSDEN

CyberDefense Center
  • Prepare
  • Detect
  • Prevent
  • Respond
  • Predict
Diensten
  • Phishing as a Service
  • Penetratietesten
  • Red Teaming
  • Nessus
  • Container Security
  • OT Security
  • Vulnerability Management
  • Endpoint Security
  • AI-powered network detection and response
  • E-mail security
  • Privileged Access Management
  • Alle Diensten
Over ons
  • Over Access42
  • Kernwaarden
  • Missie en Visie
  • Werken bij Access42
  • Partners
  • Disclaimer en Privacy Policy
  • Responsible Disclosure
Get in touch

© 2021 Access42 | Cybersecurity. All Rights Reserved.
Aanvraag CyberTIM Detect voor Microsoft 365 Trial




    Download de gratis whitepaper!

     

      Inschrijven Webinar Vectra


        Inschrijving Webinar Cofense


          Inschrijven Webinar CrowdStrike


            Start de Mimecast Service vandaag nog!


              Start met de Cognito Detect for Microsoft 365 Free Service


                Download de Tenable.OT Solution Brief

                Name *

                Email *


                Prijslijst aanvragen

                 


                  Meer weten over onze diensten?