Hyökkäystyökaluja julkaistu kriittiselle Zerologon-haavoittuvuudelle

Haavoittuvuus mahdollistaa käyttöoikeuksien laajentamisen ja toimialueen ohjauskoneen (domain controller) murtamisen ilman mitään tunnuksia. Haavoittuvuudelle julkaistiin korjaus Microsoftin elokuun päivityksissä. Kyberturvallisuuskeskus suosittelee välitöntä päivitysten asentamista!

Haavoittuvuus johtuu Netlogon Remote -protokollasta, joka on saatavilla Windowsin toimialueen ohjauskoneille. Protokollaa käytetään useisiin käyttäjän ja koneen varmentamiseen sekä tietokoneen salasanojen päivittämiseen liittyviin tehtäviin.

Hyväksikäyttömenetelmä on olemassa ja sitä käyttämällä on mahdollista saada järjestelmävalvojan oikeudet, joiden kautta on pääsy yhtiön Active Diretory (AD) -ohjauskoneisiin.

Vika mahdollistaa hyökkääjälle tilanteen, jossa tämä voi omaksua valheellisesti minkä tahansa koneen identiteetin, myös toiminnan ohjauskoneen. Valheellista identiteettiä käyttämällä hyökkäjä kykenee suorittamaan etäproseduurikutsuja muiden puolesta. Haavoittuvuus (CVE-2020-1472) on saanut CVSS-arvosanaksi 10/10, mikä tarkoittaa, että haava on erittäin kriittinen.

Haavoittuvuuden kohde

Microsoft Server 2008-2019 ennen elokuun 2020 päivitystä
Windows Server, versiot 1903, 1909 ja 2004 ennen elokuun päivitystä
Samban versioissa 4.10.18, 4.11.13, ja 4.12.7 on tehty toimenpiteitä haavoittuvuuden paikkaamiseksi.
- On suositeltavaa käyttää versiota 4.8 tai sitä myöhempää versiota.

Mistä on kysymys?

Microsoft korjasi haavoittuvuuden elokuun 2020 turvallisuuspäivityksien yhteydessä, mutta kuluneella viikolla (vko 38) useita haavoittuvuuden hyväksikäyttömenetelmiä julkaistiin internetissä. Haavoittuvuuden hyväksikäyttö edellyttää, että hyökkääjä pystyy tekemään RPC-kutsun kohdejärjestelmään. Tyypillisesti tämä edellyttää että hyökkääjä on organisaation sisäverkossa.

Korjaavan ohjelmistopäivityksen asentaminen Windows-versioihin (Server 2008 ja Server 2008 R2), jotka eivät ole enää normaalin tuen piirissä, edellyttää laajennetun tietoturvapäivitysohjelman (ESU) aktivoimista.

Mitä voin tehdä?

Elokuun Patch Tuesday:n turvallisuuspäivitys Microsoft Advisory:lta korjaa haavoittuvuuden vahvistamalla Netlogon-protokollan etäproseduurikutsuja (RPC) kaikissa Windows-laitteissa.

Päivitys pakottaa kaikille toimialueen Windows-laitteille päälle turvallisen Netlogon-protokollatoteutuksen ja estää lisäksi Zerologon-haavoittuvuuden hyväksikäytön.

Niiden Windows-toimialueen jäsenlaitteiden, jotka eivät tue turvallista protokollatoteutusta (Secure RPC) on vielä mahdollista käyttää turvatonta versiota, ellei sen käyttöä ole erikseen estetty. Suosittelemme, että turvallisen protokollaversion (Secure NRPC) käyttö pakotetaan päälle jo tässä vaiheessa, mikäli turvattoman protokollan käytölle ei ole tarvetta.

Myös Samba-palvelimilla on syytä varmistaa, että vain Secure RPC on tuettuna (server schannel = yes). Mikäli toimialueessa on jokin laite, joka ei tue secure RPC:tä voi lisäohjeita katsoa Samban (ulkoinen linkki) ja Microsoftin (ulkoinen linkki) tiedotteista.

Helmikuussa 2021 julkaistava turvallisuuspäivitys pakottaa kaikki toimialueen laitteet käyttämään turvallista protokollatoteutusta ellei käyttöä erikseen sallita konekohtaisesti.

Suosittelemme painokkaasti kaikkia käyttäjiä ja järjestelmävalvojia ottamaan päivityksen käyttöön niin pian kuin mahdollista.

Threatpost: Windows Exploit Released For Microsoft ‘Zerologon’ Flaw (ulkoinen linkki)

CERT Coordination Center: Microsoft Windows Netlogon Remote Protocol (MS-NRPC) uses insecure AES-CFB8 initialization vector (ulkoinen linkki)

Secura [Whitepaper] Zerologon: Unauthenticated domain controller compromise by subverting Netlogon cryptography (CVE-2020-1472) (ulkoinen linkki)

Secura [Blog] Zerologon: instantly become domain admin by subverting Netlogon cryptography (CVE-2020-1472) (lkoinen linkki)

Samba: CVE-2020-1472 (ulkoinen linkki)

Microsoft: How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 (ulkoinen linkki)

Tenable: CVE-2020-1472: 'Zerologon' Vulnerability in Netlogon Could Allow Attackers to Hijack Windows Domain Controller (ulkoinen linkki)

Microsoft: CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability (ulkoinen linkki)

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.