Windows Zerologon PoC漏洞允许域接管,请立即修补!

视窗

研究人员已经发布了Windows Zerologon CVE-2020-1472漏洞的攻击程序,该漏洞使攻击者可以控制Windows域。立即安装补丁!

作为2020年8月补丁星期二安全更新的一部分,Microsoft修复了一个被评级为10/10的严重安全漏洞,称为“ CVE-2020-1472 | Netlogon特权提升漏洞”。

成功利用此漏洞后,攻击者可以将其特权提升给域管理员并接管域。

此后,发现此漏洞的网络安全公司Secura发布了该漏洞的详细记录,并将其命名为Zerologon。

滥用加密漏洞

当用户登录到域上的Windows设备时,它使用 RPC上的  Netlogon远程协议(MS-NRPC)与域控制器进行通信并验证用户身份。

如果用户使用正确的凭据登录,则域控制器会告诉设备允许使用适当的权限进行身份验证。那些使用错误凭证的人显然将无法登录。

由于身份验证尝试是敏感的,因此Windows通过加密的安全RPC连接发送身份验证请求

Secura研究人员Tom Tervoort发现,执行身份验证请求时,有可能迫使域控制器退回到未加密的RPC通信。

回到非安全的RPC通信之后,Tervoort可能会滥用Netlogon AES-CFB8密码协商算法中的缺陷来尝试欺骗成功的登录。

在Tervoort的测试中,平均需要进行256次尝试才能成功欺骗成功的登录。

这种操作会欺骗设备,使用户以域管理员的身份登录到系统中。

Zerologon攻击流程
Zerologon攻击流程
来源:Secura

攻击者获得网络上的域管理员特权后,他们将获得对域控制器的完全访问权限,可以更改用户的密码并执行所需的任何命令。

使此漏洞如此可怕的原因在于,攻击者甚至不需要域上的合法凭据,但可以欺骗响应以使任何登录尝试均成功。

“没有必要等待其他用户尝试登录。相反,攻击者可以登录自己,假装仅支持NTLM并提供一些无效的密码。他们登录的服务会将NTLM握手转发给域控制器和域控制器将以否定响应进行回复,然后可以用欺骗性答复(还包含重新计算的会话密钥)代替此消息,指示密码正确,并且,用户尝试登录碰巧是域管理员组的成员(这意味着他们在目标计算机上也具有管理特权),” Tervoort在他对Zerologon的报告中解释道。

当涉及到人工勒索软件攻击时,此漏洞尤其令人关注,因为它允许在单个工作站上立足的对手获得Windows域上网络的完全控制权。

Tervoort警告说:“当攻击者在内部网络中立足时,此漏洞可能特别危险,因为它既允许特权提升(授予本地管理员),又可以横向移动(在网络上的其他计算机上获得RCE),”

Zerologon概念验证漏洞发布

自Secura的文章发布以来,许多研究人员已经发布了概念验证漏洞,使用户可以在易受攻击的网络上获得域管理员特权。

NCC集团的Rich Warren昨天发布了PoC,使他能够在十秒钟内实现域管理员。

0-Domain Admin in 10 seconds with Zerologon (CVE-2020-1472)

Using @_dirkjan ‘s NetrServerPasswordSet2 commit to impacket pic.twitter.com/PELfKJCQLV— Rich Warren (@buffaloverflow) September 14, 2020

研究人员还发布了其他漏洞[ 12 ]对域控制器执行类似的攻击。

修复漏洞

由于修复Zerologon漏洞可能导致某些设备无法正确进行身份验证,因此Microsoft分两个阶段推出了此修复程序。

第一阶段已于8月11日以安全更新的形式发布,该更新  将阻止Windows Active Directory域控制器使用不安全的RPC通信。

此更新还将记录来自不使用安全RPC通信的非Windows设备的身份验证请求,以使管理员有时间修复设备或将其替换为支持安全RPC的硬件。

2021年2月9日,作为补丁星期二更新的一部分,Microsoft将发布第二个更新,它将进入强制执行阶段,该阶段要求网络上的所有设备都使用secure-RPC,除非管理员明确允许。

因此,强烈建议Windows管理员在其Active Directory域控制器上部署补丁的第一阶段,以保护其网络。

Secura 发布了一个工具,使您可以检查域控制器是否容易受到Zerologon(CVE-2020-1472)漏洞的攻击。

*编译:Domino

*来自:bleepingcomputer