Η Microsoft τον προηγούμενο μήνα, διόρθωσε ένα από τα πιο σοβαρά σφάλματα που έχουν αναφερθεί ποτέ στην εταιρεία, ένα ζήτημα που θα μπορούσε να οδηγήσει σε ανάληψη των Windows Server που τρέχουν ως domain controllers στα εταιρικά δίκτυα.

Το σφάλμα διορθώθηκε την Patch Tuesday του Αυγούστου 2020 με το αναγνωριστικό CVE-2020-1472. Περιγράφηκε ως “ενίσχυση προνομίων” στο Netlogon (το Netlogon είναι μια διαδικασία του Windows server που ταυτοποιεί τους χρήστες και άλλες υπηρεσίες σε ένα domain).

Η ευπάθεια έλαβε τη βαθμολογία μέγιστης σοβαρότητας 10, αλλά οι λεπτομέρειες δεν δημοσιοποιήθηκαν ποτέ, πράγμα που σημαίνει ότι οι χρήστες και οι IT admins δεν ήξεραν πόσο επικίνδυνο ήταν το πρόβλημα.

Αλλά σε ένα blog post σήμερα, η ομάδα της Secura B.V. (Ολλανδική εταιρεία ασφαλείας), δημοσίευσε περισσότερες λεπτομέρειες για αυτό το μυστηριώδες σφάλμα με μια τεχνική έκθεση που περιγράφει το CVE-2020-1472 σε μεγαλύτερο βάθος.

Και σύμφωνα με την αναφορά, το bug είναι πραγματικά άξιο του βαθμού σοβαρότητας του 10/10 CVSSv3.

Σύμφωνα με τους ειδικούς της Secura, το σφάλμα, το οποίο ονόμασαν Zerologon, εκμεταλλεύεται έναν ασθενή κρυπτογραφικό αλγόριθμο που χρησιμοποιείται στη διαδικασία ελέγχου ταυτότητας Netlogon.

Αυτό το σφάλμα επιτρέπει σε έναν εισβολέα να χειριστεί τις διαδικασίες ελέγχου ταυτότητας Netlogon και:

  • πλαστοπροσωπεί την ταυτότητα οποιουδήποτε υπολογιστή σε ένα δίκτυο κατά την προσπάθεια ελέγχου ταυτότητας έναντι του domain controller
  • απενεργοποιεί τις δυνατότητες ασφαλείας στη διαδικασία ελέγχου ταυτότητας Netlogon
  • αλλάζει τον κωδικό πρόσβασης ενός υπολογιστή στο Active Directory του domain controller

Η ουσία, και ο λόγος για τον οποίο το σφάλμα ονομάστηκε Zerologon, είναι ότι η επίθεση γίνεται με την προσθήκη μηδενικών χαρακτήρων σε ορισμένες παραμέτρους

του ελέγχου ταυτότητας Netlogon.

Η επίθεση είναι πολύ γρήγορη και μπορεί να διαρκέσει έως και τρία δευτερόλεπτα, το πολύ. Επιπλέον, δεν υπάρχουν όρια στο πώς ένας εισβολέας μπορεί να χρησιμοποιήσει την επίθεση Zerologon. Για παράδειγμα, ο εισβολέας θα μπορούσε επίσης να εμφανιστεί ως ο ίδιος ο domain controller και να αλλάξει τον κωδικό πρόσβασής του, επιτρέποντας στον εισβολέα να αναλάβει την διαχείρηση ολόκληρου του εταιρικού δικτύου.

Υπάρχουν περιορισμοί στο πώς μπορεί να χρησιμοποιηθεί μια επίθεση Zerologon. Δεν μπορεί να χρησιμοποιηθεί για την ανάληψη των Windows servers από κάποιο εξωτερικό δίκτυο. Ένας εισβολέας χρειάζεται πρώτα να βρίσκεται ήδη μέσα στο δίκτυο.

Ωστόσο, όταν πληρείται αυτή η προϋπόθεση, κυριολεκτικά το παιχνίδι τελειώνει για την εταιρεία.

“Αυτή η επίθεση έχει τεράστιο αντίκτυπο”, δήλωσε η ομάδα Secura. “Βασικά επιτρέπει σε κάθε εισβολέα στο τοπικό δίκτυο να θέσει σε πλήρη κίνδυνο τον Windows domain.”

Επιπλέον, αυτό το bug είναι επίσης ένα δώρο για τις συμμορίες malware και ransomware, οι οποίες συχνά βασίζονται στη μόλυνση ενός υπολογιστή μέσα στο δίκτυο μιας εταιρείας για να διαδώσουν τα malware/ransomware και σε άλλους υπολογιστές. Με το Zerologon, αυτή η διαδικασία έχει απλοποιηθεί σημαντικά.