Zerologon, exploit-ul care lasă rețelele Windows complet vulnerabile

Autor: Aurelian Mihai 19.09.2020
Zerologon, exploit-ul care lasă rețelele Windows complet vulnerabile

Atacul numit Zerologon permite infiltrarea fără parolă a rețelelor corporatiste bazate pe infrastructura Active Directory, manipulând procesul de autentificare Netlogon pentru a lua identitatea oricărui computer, dezactiva mecanisme de securitate și chiar schimba parolele de acces.

Acționând cât se poate de discret, Microsoft a remediat luna trecută una dintre cele mai grave vulnerabilități din istoria Windows, care permitea accesarea fără parolă și deturnarea sistemelor Windows Server configurate cu rolul de domain controller și folosite pentru administrarea stațiilor de lucru înrolate în rețele private.

CVE-2020-1472 este una dintre cele mai grave vulnerabilități din istoria Windows

Identificat drept CVE-2020-1472, bug-ul etichetat cu un rating de 10/10 pe scara de risc este descris ca o escaladare a privilegiilor Netlogon, permițând ocolirea completă a protocolului de securitate prin adăugarea de zerouri în continuarea anumitor parametri de login.

Denumit în mod sugestiv Zerologon, exploit-ul profita de un algoritm criptografic nesigur, folosit în procesul de auentificare Netlogon. Aplicabil în doar câteva secunde, atacul viza escaladarea privilegiilor de acces cu scopul accesării directorului-rădăcină, sau domain controller, unde este păstrată baza de date cu toate PC-urile incluse în rețea, complet cu parolele folosite și drepturile de acces. Editând respectiva bază de date, un atacator poate lua identitatea oricărui computer din rețea, schimba parolele de acces și dezactiva funcții de securitate esențiale pentru protejarea rețelei.

Din fericire, există limitări asupra modului în care atacurile Zerologon pot funcționa. De exemplu, bug-ul nu poate fi folosit pentru preluarea serverelor Windows din afara rețelei. Un atacator ar trebui mai întâi să obțină acces la un PC din rețeaua privată a companiei, fie cu ajutorul unui om din interior, sau cu ajutorul unei conexiuni VPN obținută prin alte mijloace.

O mare problemă este că vulnerabilitatea poate veni în ajutorul grupurilor de malware și ransomware, care adesea se bazează pe infectarea unui singur computer din rețeaua unei companii, de pe care își ramifică apoi atacul în căutare de ținte și mai valoroase, cum ar fi serverele pentru stocare de date. Cu Zerologon, această sarcină este considerabil simplificată.

Închiderea bug-ului Zerologon nu a fost o sarcină ușoară pentru Microsoft, deoarece compania a trebuit să intervină asupra modului în care miliarde de dispozitive se conectează la rețelele corporative, perturbând efectiv activitatea a nenumărate companii.

Având în vedere gravitatea situației, Microsoft a optat pentru o abordare în două etape, timițând mai întâi un patch temporar care să oprească această cale de atac, urmând ca un patch definitiv să fie distribuit ulterior. Din păcate, Microsoft apreciază că modificările conținute în remediul oficial vor strica autentificarea pe unele dispozitive, impunând ajustări și din partea administratorilor de rețele.