Hyökkäystyökaluja julkaistu kriittiselle Zerologon-haavoittuvuudelle
Haavoittuvuus29/2020
Haavoittuvuus mahdollistaa käyttöoikeuksien laajentamisen ja toimialueen ohjauskoneen (domain controller) murtamisen ilman mitään tunnuksia. Haavoittuvuudelle julkaistiin korjaus Microsoftin elokuun päivityksissä. Kyberturvallisuuskeskus suosittelee välitöntä päivitysten asentamista!
Haavoittuvuus johtuu Netlogon Remote -protokollasta, joka on saatavilla Windowsin toimialueen ohjauskoneille. Protokollaa käytetään useisiin käyttäjän ja koneen varmentamiseen sekä tietokoneen salasanojen päivittämiseen liittyviin tehtäviin.
Hyväksikäyttömenetelmä on olemassa ja sitä käyttämällä on mahdollista saada järjestelmävalvojan oikeudet, joiden kautta on pääsy yhtiön Active Diretory (AD) -ohjauskoneisiin.
Vika mahdollistaa hyökkääjälle tilanteen, jossa tämä voi omaksua valheellisesti minkä tahansa koneen identiteetin, myös toiminnan ohjauskoneen. Valheellista identiteettiä käyttämällä hyökkäjä kykenee suorittamaan etäproseduurikutsuja muiden puolesta. Haavoittuvuus (CVE-2020-1472) on saanut CVSS-arvosanaksi 10/10, mikä tarkoittaa, että haava on erittäin kriittinen.
Kohde
- Työasemat ja loppukäyttäjäsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Käyttövaltuuksien laajentaminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
- Microsoft Server 2008-2019 ennen elokuun 2020 päivitystä
- Windows Server, versiot 1903, 1909 ja 2004 ennen elokuun päivitystä
- Samban versioissa 4.10.18, 4.11.13, ja 4.12.7 on tehty toimenpiteitä haavoittuvuuden paikkaamiseksi.
- On suositeltavaa käyttää versiota 4.8 tai sitä myöhempää versiota.
Mistä on kysymys?
Microsoft korjasi haavoittuvuuden elokuun 2020 turvallisuuspäivityksien yhteydessä, mutta kuluneella viikolla (vko 38) useita haavoittuvuuden hyväksikäyttömenetelmiä julkaistiin internetissä. Haavoittuvuuden hyväksikäyttö edellyttää, että hyökkääjä pystyy tekemään RPC-kutsun kohdejärjestelmään. Tyypillisesti tämä edellyttää että hyökkääjä on organisaation sisäverkossa.
Korjaavan ohjelmistopäivityksen asentaminen Windows-versioihin (Server 2008 ja Server 2008 R2), jotka eivät ole enää normaalin tuen piirissä, edellyttää laajennetun tietoturvapäivitysohjelman (ESU) aktivoimista.
Mitä voin tehdä?
Elokuun Patch Tuesday:n turvallisuuspäivitys Microsoft Advisory:lta korjaa haavoittuvuuden vahvistamalla Netlogon-protokollan etäproseduurikutsuja (RPC) kaikissa Windows-laitteissa.
Päivitys pakottaa kaikille toimialueen Windows-laitteille päälle turvallisen Netlogon-protokollatoteutuksen ja estää lisäksi Zerologon-haavoittuvuuden hyväksikäytön.
Niiden Windows-toimialueen jäsenlaitteiden, jotka eivät tue turvallista protokollatoteutusta (Secure RPC) on vielä mahdollista käyttää turvatonta versiota, ellei sen käyttöä ole erikseen estetty. Suosittelemme, että turvallisen protokollaversion (Secure NRPC) käyttö pakotetaan päälle jo tässä vaiheessa, mikäli turvattoman protokollan käytölle ei ole tarvetta.
Myös Samba-palvelimilla on syytä varmistaa, että vain Secure RPC on tuettuna (server schannel = yes). Mikäli toimialueessa on jokin laite, joka ei tue secure RPC:tä voi lisäohjeita katsoa Samban (Ulkoinen linkki) (ulkoinen linkki) ja Microsoftin (Ulkoinen linkki) (ulkoinen linkki) tiedotteista.
Helmikuussa 2021 julkaistava turvallisuuspäivitys pakottaa kaikki toimialueen laitteet käyttämään turvallista protokollatoteutusta ellei käyttöä erikseen sallita konekohtaisesti.
Suosittelemme painokkaasti kaikkia käyttäjiä ja järjestelmävalvojia ottamaan päivityksen käyttöön niin pian kuin mahdollista.
22.09.2020 Paljon uutta lisätietoa, tarkennettu tekstiä ja lisätty uusia linkkejä.
29.9.2020 Lisätietoja, linkkejä ja tarkennettu päivityksen asentamista sekä sen vaikutuksia.