W sierpniowym „Patch Tuesday” firma Microsoft zamknęła kilka luk, a jedną z nich była CVE-2020-1472. Luka w protokole Netlogon została zaklasyfikowana jako „krytyczna” (jej wynik w skali CVSS osiągnął wartość maksymalną 10.0). Co do tego, że może ona stwarzać zagrożenie, nigdy nie było wątpliwości, jednak pewnego dnia badacz z firmy Secura, Tom Tervoort (który ją odkrył), opublikował szczegółowy raport wyjaśniający, dlaczego luka znana pod nazwą Zerologon jest tak niebezpieczna oraz w jaki sposób może ona zostać użyta do przechwycenia kontrolera.
O co chodzi z luką Zerologon?
Zasadniczo luka CVE-2020-1472 to błąd w schemacie uwierzytelniania kryptograficznego Netlogon Remote Protocol. Protokół ten autoryzuje użytkowników oraz maszyny w sieciach opartych na domenach, jak również jest używany do zdalnego aktualizowania haseł na komputerze. Dzięki tej luce atakujący mógłby podszyć się pod komputer kliencki i zastąpić hasło do kontrolera domeny (serwera, który kontroluje całą sieć i uruchamia usługi Active Directory), a następnie uzyskać prawa administratora domeny.
Kto jest podatny?
Luka CVE-2020-1472 stwarza zagrożenie dla firm, których sieci są oparte na kontrolerach domen z systemem Windows. W szczególności cyberprzestępcy mogą przechwycić kontroler domeny oparty na dowolnej wersji Windows Server 2019 lub Windows Server 2016, a także dowolnej edycji Windows Server w wersji 1909, Windows Server w wersji 1903, Windows Server w wersji 1809 (edycje Datacenter i Standard), Windows Server 2012 R2, Windows Server 2012 i Windows Server 2008 R2 Service Pack 1. Cyberprzestępcy najpierw muszą przeniknąć do sieci firmowej, co nie jest dużym wyzwaniem — ataki od wewnątrz i przenikanie poprzez gniazda sieci Ethernet w pomieszczeniach ogólnodostępnych co jakiś czas się zdarzają.
Na szczęście luka Zerologon nie została jeszcze użyta w ataku w świecie rzeczywistym (a przynajmniej nikt jeszcze takiego nie zarejestrował). Jednak raport Tervoorta wywołał poruszenie, które najprawdopodobniej zwróciło na tę kwestię uwagę cyberprzestępców, i mimo że naukowcy nie opublikowali jeszcze dowodu koncepcji, nie mają wątpliwości, że atakujący mogą go utworzyć na podstawie poprawek.
Jak zapewnić sobie ochronę przed atakami Zerologon
Na początku sierpnia tego roku firma Microsoft udostępniła łaty zamykające lukę dla wszystkich systemów, na których stwarza ona zagrożenie — warto więc sprawdzić, czy została ona zainstalowana. Ponadto firma zaleca monitorowanie wszelkich prób zalogowania się dokonanych na podatnej wersji tego protokołu oraz zidentyfikowanie urządzeń, które nie obsługują nowej wersji. Według Microsoftu w idealnym przypadku kontroler domeny powinien być ustawiony w trybie, w którym wszystkie urządzenia używają bezpiecznej wersji protokołu Netlogon.
Aktualizacje nie wymuszają tego ograniczenia, ponieważ protokół Netlogon Remote Protocol jest używany nie tylko w systemie Windows, lecz również na wielu urządzeniach z innymi systemami operacyjnymi. Jeśli korzystanie z niego będzie obowiązkowe, urządzenia nieobsługujące bezpiecznej wersji nie będą działać poprawnie.
Niemniej jednak począwszy od 9 lutego 2021 roku kontrolery domen będą zobowiązane do korzystania z tego trybu (czyli wszystkie urządzenia będą zmuszone do korzystania ze zaktualizowanego, bezpiecznego protokołu Netlogon), więc administratorzy będą musieli wcześniej rozwiązać problem zgodności z urządzeniami innych firm (aktualizując lub dodając je ręcznie w ramach wyjątków). Więcej informacji na temat tego, co robi sierpniowa łata i co zmieni się w lutym, znajdziecie szczegółowo opisane w poście opublikowanym przez firmę Microsoft.