O ataque Zerologon permite que os hackers comprometam completamente um domínio do Windows

Os administradores de servidores Windows corporativos devem instalar o Patch Tuesday de agosto de 2020 o mais rápido possível para proteger seus sistemas do ataque Zerologon que explora o CVE-2020-1472.

A  falha CVE-2020-1472 é uma elevação de privilégio que reside no Netlogon . O serviço Netlogon é um mecanismo de autenticação usado na arquitetura de autenticação de cliente do Windows que verifica as solicitações de logon e registra, autentica e localiza controladores de domínio.

“Existe uma vulnerabilidade de elevação de privilégio quando um invasor estabelece uma conexão de canal seguro Netlogon vulnerável a um controlador de domínio, usando o protocolo remoto Netlogon ( MS-NRPC ). Um invasor que explorar com êxito a vulnerabilidade pode executar um aplicativo especialmente criado em um dispositivo da rede ”. lê o comunicado publicado pela Microsoft.

“Para explorar a vulnerabilidade, um invasor não autenticado seria obrigado a usar MS-NRPC para se conectar a um controlador de domínio para obter acesso de administrador de domínio.”

Embora a Microsoft não tenha divulgado detalhes técnicos da vulnerabilidade devido à gravidade do problema (pontuação CVSSv3: 10,0), os pesquisadores da Secura BV publicaram uma análise detalhada da falha.

“Ao forjar um token de autenticação para uma funcionalidade específica do Netlogon, ele conseguiu chamar uma função para definir a senha do computador do controlador de domínio para um valor conhecido. Depois disso, o invasor pode usar essa nova senha para assumir o controle do controlador de domínio e roubar credenciais de um administrador de domínio. ” lê a postagem publicada pela Secura.

“A vulnerabilidade decorre de uma falha em um esquema de autenticação criptográfica usado pelo protocolo remoto Netlogon, que entre outras coisas pode ser usado para atualizar senhas de computador.”

Um invasor pode explorar a vulnerabilidade para se passar por qualquer computador, incluindo o próprio controlador de domínio, e executar chamadas de procedimento remoto em seu nome.

Um invasor também pode explorar a falha para desativar os recursos de segurança no processo de autenticação do Netlogon e alterar a senha de um computador no Active Directory do controlador de domínio.

“Com o simples envio de uma série de mensagens de logon de rede em que vários campos são preenchidos com zeros, um invasor pode alterar a senha do computador do controlador de domínio que está armazenado no AD. Isso pode ser usado para obter credenciais de administrador de domínio e, em seguida, restaurar a senha DC original. ” conclui o artigo de pesquisa .

“Este ataque tem um impacto enorme: basicamente permite que qualquer invasor na rede local (como um insider malicioso ou alguém que simplesmente conectou um dispositivo a uma porta de rede local) comprometa completamente o domínio do Windows. O ataque é completamente não autenticado ”

O ataque ZeroLogon pode ser explorado por agentes de ameaças para entregar malware e ransomware na rede alvo.

A única limitação sobre como realizar um ataque Zerologon é que o invasor deve ter acesso à rede alvo.

Os pesquisadores da Secura lançaram um script Python que usa a biblioteca Impacket para testar a vulnerabilidade do exploit Zerologon, ele pode ser usado por administradores para determinar se o controlador de domínio ainda está vulnerável.

As atualizações de segurança do Patch Tuesday de agosto de 2020 abordam apenas temporariamente a vulnerabilidade, tornando os recursos de segurança do Netlogon obrigatórios para o processo de autenticação do Netlogon.

A Microsoft planeja lançar um patch completo em fevereiro de 2021.

Fonte: https://securityaffairs.co/wordpress/108262/hacking/zerologon-attack.html