Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

De Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen. Afgelopen maand met de August 2020 Patch Tuesday heeft Microsoft een patch uitgebracht voor één van de meest ernstige kwetsbaarheden die ooit gerapporteerd is aan het bedrijf. Door misbruik te maken van de kwetsbaarheid is het eenvoudig om Windows Servers die als domain controllers worden gebruikt over te nemen.

De Zerologon kwetsbaarheid heeft CVE-2020-1472 toegewezen gekregen en een maximale CVSS score van 10/10. Er waren alleen geen details publiek vrijgegeven, hierdoor was er niet direct duidelijk hoe groot dit probleem daadwerkelijk was.

Dit is wel duidelijk geworden door een blog op vrijdag 11 september 2020 van het Nederlandse Security Bedrijf Secura. Naast het blog heeft Secura ook een whitepaper vrijgegeven met technische details over de kwetsbaarheid.

De Zerologon kwetsbaarheid

De Zerologon kwetsbaarheid maakt misbruik van fouten in het cryptografische authenticatie algoritme die wordt gebruikt door het Netlogon Remote Protocol. Dit protocol wordt gebruikt om de echtheid en identiteit van een computer te bepalen die het domein is gejoined. Door het incorrect gebruik van een AES modus van operatie, is het mogelijk om de identiteit van alle computeraccounts (zelfs die van de domain controller) te spoofen en een leeg wachtwoord aan te maken voor het betreffende account in het domein. Daarnaast schakelt Zerologon ook de Security Features uit.

De reden dat de kwetsbaarheid de naam Zerologon heeft gekregen is, omdat de aanval wordt uitgevoerd door nullen toe te voegen aan verschillende parameters van de Netlogon authenticatie, zoals in onderstaande afbeelding te zien valt.

Zerologon

Afbeelding uit de whitepaper van Secura

De volledige aanval is zeer snel en duurt maximaal 3 seconden. Daarnaast heeft een aanvaller geen limiet in hoe deze gebruik maakt van de Zerologon aanval. Een aanvaller kan zich voordoen als de domain controller en het wachtwoord veranderen om zo het bedrijfsnetwerk over te nemen.

Beperkingen aan de kwetsbaarheid

Er zijn wel een aantal beperkingen hoe de Zerologon aanval door aanvallers gebruikt kan worden. De belangrijkste is dat het niet mogelijk is om de Windows Servers van buiten het netwerk over te nemen. Een aanvaller zal eerst op een andere manier het netwerk zien binnen te moeten komen. Wanneer dit gelukt is, dan is het feitelijk game over voor het aangevallen bedrijf.

“Deze aanval heeft een grote impact,” geeft Secura aan. “Het zorgt er in de basis voor dat iedere aanvaller op het lokale netwerk (zoals een kwaadaardige Insider of iemand die een device heeft ingeplugd in een netwerk poort die op de locatie van het bedrijf aanwezig is) het gehele Windows domein kan compromitteren.”

De kwetsbaarheid maakt het ook voor malware en ransomware gangs eenvoudiger om te verspreiden binnen het netwerk, aangezien deze normaal gesproken één computer binnen het bedrijfsnetwerk infecteren en zo daarna verspreiden naar meerdere.

Welke versies zijn kwetsbaar?

De volgende Windows Server versies zijn kwetsbaar voor CVE-2020-1472:

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1;
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation);
  • Windows Server 2012;
  • Windows Server 2012 (Server Core installation);
  • Windows Server 2012 R2;
  • Windows Server 2012 R2 (Server Core installation);
  • Windows Server 2016;
  • Windows Server 2016 (Server Core installation);
  • Windows Server 2019;
  • Windows Server 2019 (Server Core installation);
  • Windows Server, version 1903 (Server Core installation);
  • Windows Server, version 1909 (Server Core installation);
  • Windows Server, version 2004 (Server Core installation).

Wordt de kwetsbaarheid actief misbruikt?

Secura heeft zelf geen Proof-of-Concept (PoC) uitgebracht voor de kwetsbaarheid, maar gaf aan dat het wel verwacht dat deze zullen verschijnen na het beschikbaar maken van de technische details.

Dit is inderdaad het geval, aangezien er deze week verschillende PoC’s zijn uitgebracht op GitHub. Eén van deze PoC’s is uitgebracht door de gebruiker dirkjanm, welke op Twitter heeft aangegeven zijn PoC beschikbaar gemaakt te hebben, omdat er al meerdere publiek beschikbaar waren.

Doordat er nu meerdere PoC’s beschikbaar zijn, zal het niet lang meer duren voordat aanvallers misbruik gaan maken van deze kwetsbaarheid. Mogelijk worden er nu al zelfs de eerste pogingen gedaan.

Updates beschikbaar?

Voor alle genoemde versies bij het hoofdstuk “Welke versies zijn kwetsbaar?” is een Security update beschikbaar. In het geval van de Windows Server 2008 en 2012 versies wordt deze uitgebracht in een Monthly Rollup of Security Only update.

Het patchen voor Zerologon was niet eenvoudig, aangezien dit impact heeft op hoe biljoenen devices verbinding maken met bedrijfsnetwerken, kan dit effectief de operaties van veel verschillende bedrijven onderbreken.

Daarom brengt Microsoft de patch uit in 2 verschillende fasen. De eerste fase was in augustus toen Microsoft een tijdelijke oplossing heeft uitgebracht voor de Zerologon aanval.

Met deze tijdelijke oplossing worden de security features van Netlogon verplicht ingeschakeld (welke Zerologon had uitgeschakeld), waardoor Zerologon aanvallen gebroken worden.

Een uitgebreide patch staat gepland voor februari 2021, om uit te brengen wanneer aanvallers mogelijk een manier vinden om de patch van augustus te omzeilen. Wel verwacht Microsoft dat de volgende patch authenticatie kan breken bij sommige devices. In het volgende artikel wordt beschreven welke stappen je kunt nemen ter voorbereiding hierop.

Om te controleren of de patch van augustus goed is doorgevoerd, heeft Secura hiervoor een Python script uitgebracht op GitHub.

Workaround of mitigatie beschikbaar?

Er zijn voor deze kwetsbaarheid geen workarounds of mitigaties beschikbaar.

Advies

Er wordt geadviseerd aan iedereen die gebruik maakt van de bovengenoemde kwetsbare Windows Server versies die gebruikt worden als Active Directory Domain Controller om deze z.s.m. te updaten met de beschikbare Security Updates van augustus, wanneer dit nog niet gedaan is.

Daarnaast wordt er geadviseerd om je organisatie alvast voor te bereiden op de uitgebreide patch van februari 2021 door de aanbevolen stappen uit het artikel te volgen.

Verder wordt er geadviseerd om het script van Secura te gebruiken om te controleren dat de patch van augustus goed is doorgevoerd.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

 

Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk
Security Awareness trainingen moeten regelmatig herhaald worden

Gerelateerde berichten

security awareness training

Security Awareness trainingen moeten regelmatig herhaald worden

Microsoft

Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

cisco

Cisco IOS XR zero-day kwetsbaarheid actief misbruikt

thuiswerken

Thuiswerken zorgt voor een toename aan security incidenten

MS Teams

Microsoft Teams Updater misbruikt om “living of the land” aanvallen uit te voeren

teamviewer

TeamViewer kwetsbaarheid kan hackers het systeemwachtwoord laten stelen

Trickbot

Nieuwe string TrickBot Anchor Malware infecteert zowel Linux- als Windows-systemen

BootHole

BootHole kwetsbaarheid maakt devices met Secure Boot kwetsbaar voor aanvallen

cisco

Kwetsbaarheid in Cisco FTD en ASA zorgt voor lek van gevoelige data

emotet

Emotet botnet keert na 5 maanden terug

sigred kwetsbaarheid

SIGRed, een “wormable” kritieke kwetsbaarheid in Windows DNS-Server

f5 kwetsbaarheid

Ernstige kritieke kwetsbaarheid in BIG-IP ADC van F5

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

zeventien + vijf =

Menu