0
0
Sem o conhecimento de muitos, a Microsoft corrigiu no mês passado, em agosto, um dos bugs mais graves já relatados à empresa, um problema que poderia ser abusado para assumir facilmente servidores windows executados como controladores de domínio em redes corporativas.
O bug foi corrigido no Patch Tuesday de agosto de 2020 sob o identificador do CVE-2020-1472. Foi descrito como uma elevação do privilégio no Netlogon, o protocolo que autentica os usuários contra controladores de domínio.
A vulnerabilidade recebeu a classificação máxima de gravidade de 10, mas os detalhes nunca foram tornados públicos, o que significa que usuários e administradores de TI nunca souberam o quão perigoso o problema realmente era.
Assuma um controlador de domínio com um monte de zeros
Mas em um post no blog hoje,a equipe da Secura B.V., uma empresa de segurança holandesa, finalmente levantou o véu sobre este misterioso bug e publicou um relatório técnico descrevendo cve-2020-1472 em maior profundidade.
E de acordo com o relatório, o bug é realmente digno de sua pontuação de gravidade CVSSv3 10/10.
De acordo com especialistas da Secura, o bug, que eles chamaram de Zerologon,se aproveita de um fraco algoritmo criptográfico usado no processo de autenticação da Netlogon.
Este bug permite que um invasor manipule os procedimentos de autenticação do Netlogon e:
- personificar a identidade de qualquer computador em uma rede ao tentar autenticar contra o controlador de domínio
- desativar recursos de segurança no processo de autenticação do Netlogon
- alterar a senha de um computador no Active Directory do controlador de domínio (um banco de dados de todos os computadores unidos a um domínio e suas senhas)
A essência, e a razão pela qual o bug foi chamado zerologon, é que o ataque é feito adicionando zero caracteres em certos parâmetros de autenticação netlogon (ver gráfico abaixo).
Todo o ataque é muito rápido e pode durar até três segundos, no máximo. Além disso, não há limites para como um atacante pode usar o ataque Zerologon. Por exemplo, o invasor também pode se passar pelo próprio controlador de domínio e alterar sua senha, permitindo que o hacker assuma toda a rede corporativa.
Assumir uma rede corporativa em três segundos
Há limitações para como um ataque Zerologon pode ser usado. Para começar, ele não pode ser usado para assumir servidores Windows de fora da rede. Um atacante primeiro precisa de uma base dentro de uma rede.
No entanto, quando esta condição é atendida, é literalmente o fim do jogo para a empresa atacada.
“Este ataque tem um enorme impacto”, disse a equipe da Secura. “Ele basicamente permite que qualquer invasor na rede local (como um insider malicioso ou alguém que simplesmente ligou um dispositivo a uma porta de rede local) comprometa completamente o domínio do Windows.”
Além disso, esse bug também é uma benção para gangues de malware e ransomware, que muitas vezes dependem de infectar um computador dentro da rede de uma empresa e, em seguida, se espalhar para vários outros. Com Zerologon, esta tarefa foi consideravelmente simplificada.
Patches disponíveis; mais por vir
Mas corrigir o Zerologon não foi uma tarefa fácil para a Microsoft, já que a empresa teve que modificar como bilhões de dispositivos estão se conectando a redes corporativas, interrompendo efetivamente as operações de inúmeras empresas.
Este processo de remendação está programado para ocorrer ao longo de duas fases. A primeira ocorreu no mês passado, quando a Microsoft lançou uma correção temporária para o ataque zerologon.
Este patch temporário tornou os recursos de segurança do Netlogon (que o Zerologon estava desativando) obrigatórios para todas as autenticações do Netlogon, efetivamente quebrando ataques do Zerologon.
No entanto, um patch mais completo está programado para fevereiro de 2021, apenas no caso de os atacantes encontrarem uma maneira de contornar os patches de agosto. Infelizmente, a Microsoft antecipa que este patch posterior acabará quebrando a autenticação em alguns dispositivos. Alguns detalhes sobre este segundo patch foram descritos aqui.
Os ataques usando o Zerologon são um dado, principalmente devido à gravidade do bug, amplo impacto e benefícios para os atacantes.
A Secura não divulgou um código de prova de conceito para um ataque zerologon armado, mas a empresa espera que estes eventualmente apareçam depois que seu relatório se espalhar online hoje.
Enquanto isso, a empresa lançou um script Python, um script que pode dizer aos administradores se seu controlador de domínio foi corrigido corretamente.
FONTE: ZDNET