Zerologon-Angriffserkennung (CVE-2020-1472)
Inhaltsverzeichnis:
Nach einem sehr heißen Juli, der besonders fruchtbar für kritische Schwachstellen war (1, 2, 3), verlief der Patch Tuesday von Microsoft im August relativ ruhig. Ja, es wurden erneut mehr als hundert Schwachstellen behoben, ja, 17 Fehler wurden als kritisch eingestuft, und Microsoft hat nicht auf Bugs des Niveaus „We All Doomed“ hingewiesen. Obwohl damals Sicherheitsexperten auf den Zerologon-Angriff aufmerksam machten, die kritische Schwachstelle zur Erhöhung von Berechtigungen (CVE-2020-1472), die Angreifern ermöglicht, das Netlogon Remote Protocol zu missbrauchen und Administratorzugang zu einem Domänencontroller zu erlangen.
Zerologon-Schwachstelle
Im Wesentlichen ermöglichte die entdeckte CVE-2020-1472 (CVSS-Score: 10,0) Betrügern die Übernahme des erfassten Domain-Administrator-Kontos. Die Schwachstelle erhielt aufgrund der vorhandenen einsatzfähigen PoC-Exploits und der erwarteten bösartigen Aktivitäten im Zusammenhang mit der Ausnutzung der CVE-2020-1472 die höchste Schwerebewertung durch das Common Vulnerability Scoring System.
Die CVE-2020-1472-Schwachstelle steht in direktem Zusammenhang mit dem kryptografischen Algorithmus, der im Netlogon Remote Protocol verwendet wird. Die Schwachstelle erhielt ihren Namen aufgrund der Spezifität der Ausnutzung, bei der die Startvariable oder der Initialisierungsvektor auf Nullen statt auf Zufallszahlen gesetzt wurde.
Technische Details zum Zerologon-Angriff
Heute hat das Sicherheitsunternehmen Secura die technischen Details hinter dem kritischen Zerologon-Fehler veröffentlicht, und Beweise für die einfache Ausnutzung der CVE-2020-1472-Schwachstelle sind bereits eingetroffen. Zerologon ermöglicht es einem Hacker, die Kontrolle über den betroffenen Domänencontroller zu übernehmen. Um eine TCP-Sitzung mit einem Domänencontroller herzustellen, befinden sich die Hacker in der Regel im Netzwerk und haben physischen Zugriff auf die Geräte oder verfügen über einen Einstiegspunkt von außerhalb des Netzwerks. Zuerst müssen die Betrüger die Anmeldedaten eines Computers im Unternehmensnetzwerk fälschen, was in weniger als 256 Versuchen aufgrund eines schlechten Initialisierungsvektors des Netlogon Remote Protocol möglich ist. Dann würden die Hacker den Verschlüsselungstransportmechanismus innerhalb von MS-NRPC deaktivieren, um den Weg für ihre weiteren Aktionen freizumachen – das Passwort für das Konto zu ändern, das ursprünglich verwendet wurde, um ins System zu gelangen, sodass der Computer sich nicht mehr anmelden kann. the technical details behind Zerologon critical flaw, and evidence of the ease of exploitation of CVE-2020-1472 vulnerability has already begun to pour in. Zerologon allows a hacker to take command over the victimized domain controller. To establish a TCP session with a domain controller, the hackers are typically inside the network having physical access to the equipment, or have a standing point from outside the network. First, the fraudsters have to spoof the credentials of a computer on the company’s networks, which is possible in less than 256 attempts because of poor Initialization Vector of Netlogon Remote Protocol. Then, the hackers would disable the encryption transportation mechanism within MS-NRPC to clear the way for their further actions – change the password for the account which was initially used to get into the system so that the computer won’t be able to log in.
Sicherheitsupdate und Minderung der CVE-2020-1472
Microsoft plant, das Sicherheitsproblem in zwei Phasen zu lösen, indem die Verbindung der Geräte innerhalb von Unternehmensnetzwerken grundlegend modifiziert wird.
Die erste Phase, die Anfangseinführungsphase, begann am 11. August 2020. Sie wird bis Q1 2020 dauern, und während dieser Zeit werden Updates veröffentlicht. Um die Administratoren über anfällige Netlogon-Verbindungen in Verbindung mit CVE-2020-1472 zu warnen, hat Microsoft neue EventIDs hinzugefügt, zusammen mit Updates für betroffene Versionen von Windows Server. Darunter wurde die EventID 5829 hinzugefügt, um über anfällige Netlogon-Verbindungen zu informieren.
In der zweiten Phase – der Durchsetzungsphase – die am 9. Februar 2021 beginnen soll, werden die Domänencontroller anfällige Verbindungen von Geräten zurückweisen, die anfällige Netlogon-sichere Verbindungskanäle verwenden, außer von der Gruppenrichtlinie zugelassen.
Technische Details und Erkennung des Zerologon-Angriffs
Jetzt können Cyberkriminelle, die ein System im Netzwerk einer Organisation kompromittiert haben, nahezu sofort Zugriff auf einen Domänencontroller erlangen. Botnets wie Emotet or TrickBot, die anderen Gruppen Zugriff auf infizierte Systeme bieten, werden noch gefährlicher, und die Zeit, die Ransomware-Banden vom Zeitpunkt des Eindringens in das Netzwerk bis zum Start der Dateiverschlüsselung benötigen, wird erheblich verkürzt.
Installieren Sie das Sicherheitsupdate so schnell wie möglich, wenn Sie es noch nicht getan haben. Wir empfehlen außerdem, Community-Regeln von Adam Swan, unserem leitenden Threat-Hunting-Ingenieur, herunterzuladen und einzusetzen, um Zerologon-Angriffe zu erkennen: https://tdm.socprime.com/tdm/info/FgNYLnTxIVrs/7WbXfnQBSh4W_EKGaxL5/
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ELK Stack, RSA NetWitness, Splunk, LogPoint, Humio
NTA: Corelight
MITRE ATT&CK:
Taktiken: Laterale Bewegung
Techniken: Ausnutzung von Remotediensten (T1210)
Neue Regeln zur Erkennung des Zerologon-Angriffs (CVE-2020-1472 Schwachstelle) werden im SOC Prime Threat Detection Marketplace veröffentlicht.
Verwundbare Netlogon Secure Channel Connection erlaubt von NVISO https://tdm.socprime.com/tdm/info/S4U7tNVmkwFr/Jp2DknQBPeJ4_8xcsU3h/?p=1
Anonymer Benutzer änderte Maschinenpasswort von Adam Swan, SOC Prime Team https://tdm.socprime.com/tdm/info/EPl2OKBmxbJ6/fHN5k3QBSh4W_EKG8VJB/?p=1#
Bereit, SOC Prime TDM auszuprobieren? Kostenlos anmelden. Oder Treten Sie dem Threat Bounty Program bei um eigene Inhalte zu erstellen und sie mit der TDM-Community zu teilen.
