• VLMI - теневой форум по обмену информацией. На форуме можете найти способы заработка, информация о том, как не попасться на удочку "мошенников", рассказываем про их "схемы" и как они работают, программирование, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.

Проблема Zerologon может помочь захвату корпоративной сети

M1Rz

Куратор новости

M1Rz

Куратор новости
Куратор
Сообщения
258
Реакции
96
10 руб.
На этой неделе выяснилось, что в прошлом месяце компания Microsoft исправила серьезнейшую уязвимость. Проблема имеет идентификатор *Войдите на форум для просмотра ссылок.* и носит имя Zerologon. Баг позволяет захватывать Windows-серверы, работающие в качестве контроллеров домена в корпоративных сетях.

В августе 2020 года эту проблему описывали как повышение привилегий в Netlogon, набравшую 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Однако тогда детали уязвимости не разглашались.


Теперь специалисты голландской компании Secura BV, исходно обнаружившие баг, *Войдите на форум для просмотра ссылок.* с его детальным описанием, и стало ясно, что проблема Zerologon не зря получила такую оценку. К отчету экспертов не приложен PoC-эксплоит, но приложен *Войдите на форум для просмотра ссылок.* который можно использовать для проверки корректности настройки контроллера домена.

*Войдите на форум для просмотра ссылок.*

В сущности, уязвимость Zerologon опирается на слабый криптографический алгоритм, используемый в процессе аутентификации Netlogon. Проблему назвали Zerologon, так как атака осуществляется через добавление нулей в определенные аутентификационные параметры Netlogon, как видно на иллюстрации выше. В результате баг позволяет злоумышленнику манипулировать аутентификацией,а именно:

  • выдать себя за любой компьютер в сети в ходе аутентификации на контроллере домена;
  • отключить защитные механизмы в процессе аутентификации Netlogon;
  • изменить пароль компьютера в Active Directory контроллера домена.
Исследователи подчеркивают, что такая атака может занимать максимум три секунды. Кроме того, практически никаких ограничений у атаки нет: к примеру, злоумышленник может выдать себя за контроллер домена и изменить пароль, что позволит ему захватить всю корпоративную сеть.

К счастью, Zerologon нельзя использовать удаленно, то есть атакующему сначала нужно каким-то образом проникнуть в сеть компании и закрепиться там. Однако если это произошло, Zerologon несет огромный риск. К примеру, такой баг может очень пригодиться операторам шифровальщиков, которые зачастую начинают атаку с заражения всего одного компьютера в сети компании, а затем стремятся распространить свое влияние на всю сеть.

«Эта атака имеет огромное влияние, — пишут эксперты Secura BV. — По сути, она позволяет любому злоумышленнику в локальной сети (например, инсайдеру или тому, кто подключил устройство к локальному сетевому порту), полностью скомпрометировать домен Windows».
Выпуск патчей для Zerologon оказался непростой задачей для Microsoft. Дело в том, что инженерам компании пришлось изменить способ, который миллиарды устройств используют для подключения к корпоративным сетям. В итоге процесс исправления бага был разделен на два этапа: первый этап уже завершился в августе 2020 года, когда Microsoft выпустила временное исправление. Этот временный патч сделал механизмы безопасности Netlogon (которые отключал Zerologon) обязательными для всех аутентификационных операций, что эффективно предотвращает атаки.

Релиз более полноценного патча для Zerologon запланирован на февраль 2021 года, на тот случай, если злоумышленники все же найдут способ обойти августовские исправления. К сожалению, специалисты Microsoft *Войдите на форум для просмотра ссылок.*, что второй патч неминуемо вызовет проблемы с аутентификацией на некоторых устройствах.
 
Сверху Снизу