Детальное исследование уязвимости CVE-2020-1472 и методов эксплуатации ZeroLogon

Советы и хитрости

Современные информационные системы оснащены множеством механизмов и протоколов для обеспечения защиты данных и контроля доступа. Однако, как показывает последние исследование, существуют критические уязвимости, которые могут быть использованы злоумышленниками для несанкционированного доступа к ценным ресурсам. В частности, внимание исследователей привлекла уязвимость, которая влияет на контроллеры доменов Windows.

В рамках этой уязвимости злоумышленники могут с использованием специальных техник получить доступ к зашифрованным данным, обманув механизм проверки подлинности сервера. Все это происходит в контексте протокола, использующегося для обмена событиями между клиентами и контроллерами домена, где зашифрованные данные проверяются на соответствие параметрам безопасности.

Исследования показали, что существует несколько версий протокола, некоторые из которых используются в критических сетевых приложениях и системах управления, включая множество пользователей и серверов. Для понимания механизма уязвимости важно обратить внимание на способы обновления системы безопасности и актуализации базы знаний для защиты от подобных атак.

Обзор уязвимости в протоколе Netlogon

Протокол Netlogon, используемый для аутентификации клиентов в доменных средах, подвергся критической уязвимости в 2020 году, получившей высокую оценку критичности. Возникновение этой проблемы обусловлено важностью протокола для безопасности корпоративных сетей и доменных контроллеров.

Уязвимость имеет связь с использованием протокола Netlogon клиентами для аутентификации в сети, а также с обновлениями и изменениями, внесенными в его последние верс

Основные характеристики уязвимости

Разработанный в августовском месяце, эксплоит ZeroLogon обнуляет защиту, используемую компаниями для защиты учетных записей в активных директориях. Эта уязвимость, обнаруженная исследователями безопасности, затрагивает контроллеры доменов, используемые в различных компьютерных средах, включая корпоративные сети и устройства в домене.

Одной из ключевых особенностей уязвимости является возможность выполнения атак, которые не требуют знания учетной записи домена. Это достигается путем изменения параметра clientchallenge, который используется в протоколе для зашифрованной аутентификации между клиентами и серверами доменов. Значение этого параметра записывается безопасной базой данных, но уязвимость позволяет заменять это значение на пустое (нулевое), что делает механизм аутентификации неподходящим для обеспечения безопасности.

Читайте также:  Вот несколько вариантов -"Система оповещений безопасности — Полный обзор и справочник""Все о системе оповещений безопасности — Руководство по основам""Комплексное руководство по системе оповещений безопасности""Подробный справочник по системам оповещений безопасности"

Вариант эксплойта был разработан исследователями безопасности Secura, которые обнаружили, что клиенты доменов могут использовать неустановленное значение NegotiateFlags в протоколе Kerberos, чтобы обойти механизм проверки подлинности. Это открывает дорогу для несанкционированных попыток доступа к компьютерам в защищенной сети.

Для предотвращения эксплуатации уязвимости рекомендуется немедленно установить патч, выпущенный разработчиками для обновления контроллеров домена. Последние обновления обеспечивают исправление этой проблемы путем установки строгих проверок на параметр clientchallenge в lsassexe, который отвечает за обработку запросов аутентификации в активном директории.

Как обнаружили CVE-2020-1472

Как обнаружили CVE-2020-1472

Исследователи активно изучали протоколы аутентификации в доменных средах, включая последние версии протокола Remote Server. Они обнаружили новую критическую уязвимость, затрагивающую контроллеры доменов, которая позволяет злоумышленникам осуществлять эксплуатацию безопасной аутентификации. Эта уязвимость может быть использована для изменения ключевых параметров безопасности, необходимых для безопасной работы с компьютерной сетью.

Исследования показали, что уязвимость проявляется в том, как сервера контроллеров доменов проверяют и хранят информацию о клиентских учетных данных. В частности, при использовании протокола аутентификации ClientCredential и проверке режима безопасной аутентификации, обнаруживается возможность записи байтов нуля в критически важные базы данных, хранящиеся на контроллерах доменов.

Исследование: Ключевые события обнаружения уязвимости
Событие Детали
1. Использование Mimikatz Анализ с использованием Mimikatz для проверки протоколу Remote Server.
2. Проверка средствами Kaspersky Исследование средствами Kaspersky для обнаружения изменений в базах данных контроллеров доменов.
3. Запись нулевых байтов Обнаружение возможности записи байтов нулями в критически важные базы данных.
4. Патч для защиты Разработка и патчинг для предотвращения эксплуатации уязвимости.

Исследователи считают, что обновление протоколов и необходимость внимательного обращения к безопасности серверов контроллеров доменов являются ключом к защите от этой уязвимости. Последние события показали, что минимум четыре failed changed события могут произойти на сервере при обнаружении уязвимости.

Критичность и потенциальные риски

Рассмотрим важнейшие аспекты безопасности, связанные с выявленной в августовском обновлении уязвимостью netrserverauthenticate, которая находится в крайне важном для безопасности компьютерной системы процессе аутентификации. Этот механизм, используемый контроллерами домена и серверами, занимает центральное место в обеспечении защиты доступа к ресурсам компьютерной сети.

Исследователи отмечают, что уязвимость может привести к серьезным аномалиям в процессе аутентификации, обнаружения учетных данных и управления доступом. Наряду с возможностью обнаружения нулевых значений ключа, этот вариант атаки становится крайне рискованным в контексте современных методов защиты информации.

Августовский рейтинг безопасности Kaspersky подчеркивает, что исследователи уже документировали несколько вариантов использования уязвимости netrserverauthenticate в атаках, направленных на сервера контроллеров доменов. Это делает обновление механизма аутентификации необходимым шагом для поддержания защиты сетевой инфраструктуры.

Возможная эксплуатация уязвимости может привести к значительным последствиям для компьютерной безопасности, таким как компрометация данных, несанкционированный доступ к системам и потенциальное воздействие на ключевые операционные процессы организаций.

Механизм атаки ZeroLogon

Атака ZeroLogon представляет собой крайне опасную угрозу для безопасности сетей, использующих Windows Server и Active Directory. Этот метод атаки направлен на контроллеры доменов, уязвимые к нулевым дням, позволяя злоумышленникам взламывать системы без необходимости знания пароля пользователя.

В основе атаки лежит использование аномалий в протоколе Netlogon, который отвечает за аутентификацию и управление контроллерами доменов. Злоумышленники используют различные варианты эксплойтов, включая программные инструменты типа Mimikatz, для перехвата nonce-байтов и шифрованных ответов, которые обычно используются для защиты в процессе аутентификации.

Атака начинается с передачи специально сформированного запроса к контроллеру домена, в котором злоумышленник применяет методы, нацеленные на обход стандартных механизмов защиты. В последние месяцы методы атаки ZeroLogon стали особенно популярны среди киберпреступников, что привело к резкому росту числа инцидентов, связанных с взломом систем на базе Windows Server.

Обнаружение атаки может быть крайне сложным, так как атакующие часто маскируют свои действия под обычные события в журнале аудита. Системы, не обновленные патчами, исправляющими уязвимость, остаются особенно уязвимыми перед таким типом атак, что подчеркивает важность регулярного обновления безопасности.

Принципы работы эксплоита

Методы эксплуатации уязвимости

Методы эксплуатации уязвимости

Один из основных методов атаки связан с использованием уязвимости netrserverauthenticate2, который является стандартным механизмом для серверов контроллеров доменов. Атакующие используют последние результаты исследований для нахождения ключевых моментов, необходимых для атаки. Для успешного вторжения в сеть требуется минимум четыре закрывающих флага, которые отправляются в ответ на запрос сервера.

Второй метод атаки связан с использованием недавно обнаруженного механизма, используемого сервером для отправки response nonce. Атакующие могут атаковать сеть, используя этот механизм, чтобы понять, какие флаги необходимы для защиты события в контроллерах доменов.

На основе последних исследований, среди атак на сервер контроллера доменов можно выделить вариант, использующий clientcredential ключом, который также используется в качестве отправки флагов безопасной шифрации в сеть.

Третий метод атаки, используемый исследователями, основан на безопасной версии сервера, который использует закрывающие флаги в качестве отправки ключевых значений для атаки на контроллеры доменов.

Влияние на системы Windows

Распространение уязвимости, связанной с механизмом netrserverauthenticate в доменных контроллерах Windows, имело значительное воздействие на безопасность систем. Анализ доступных данных показал, что различные версии Windows, использующие этот механизм для аутентификации клиентов, стали уязвимы к атакам.

В течение определённого промежутка времени, начиная с августа, исследователи обнаружили изменения в безопасности, касающиеся механизма netrserverauthenticate. Это затронуло не только процессы аутентификации пользователей, но и использование шифра AES-ом в различных сценариях сетевой аутентификации.

На базе доступных сообщений аудита, одних из четырёх вариантов аутентификации клиентов Windows были обнаружены уязвимыми к этому механизму. Это коснулось как компьютеров, так и устройств, использующих параметр clientcredential в процессе аутентификации гостей.

Исследователи выявили, что изменения в безопасной аутентификации могут повлиять на различные версии Windows, доступные только клиентам с определёнными версиями базы данных. Параметр failed был обнаружен только в одной из четырёх различных версий Windows.

Сценарии атак и последствия

В данном разделе мы рассмотрим различные сценарии, при которых злоумышленники могут воспользоваться обнаруженной уязвимостью, воздействуя на системы, использующие устаревшие версии протокола Netlogon. Эта уязвимость позволяет атакующим изменять значительные аспекты авторизации в доменной сети, включая пароли пользователей и компьютеров.

Атака основана на возможности модификации значений nonce, используемых в протоколе Netlogon, что позволяет злоумышленникам обойти механизм проверки и подменить clientCredential, отправляемый контроллеру домена. Это может привести к изменению ключевых значений, которые используются для шифрования и аутентификации в сети.

Использование эксплоитов, основанных на данной уязвимости, может привести к тому, что атакующие могут получить доступ к зашифрованным данным, аутентифицироваться в системе под видом других пользователей или даже компьютеров в домене. Это означает, что потенциально могут быть скомпрометированы данные пользователей, а также секретные ключи и другие конфиденциальные данные, хранящиеся на серверах контроллеров домена.

Кроме того, с учетом распространенности устаревших версий протокола Netlogon в организациях по всему миру, количество систем, подверженных риску, крайне велико. Поскольку обновления на момент сегодняшнего дня еще не были реализованы во многих компаниях и организациях, эксплуатация этой уязвимости представляет серьезную угрозу для безопасности информации.

Вопрос-ответ:

Оцените статью
ПОПУЛЯРНЫЕ ТЕХНОЛОГИИ
Добавить комментарий