Microsoft už v auguste, vrámci tradičného tzv. Patch Tuesday, vydal opravu zraniteľnosti CVE-2020-1472. Ide o zraniteľnosť v protokole Netlogon, ktorý je štandardným spôsobom autentizácie počítačov v doméne. Pôvodná správa o zraniteľnosti obsahovala informáciu o tom, že zneužitím tejto zraniteľnosti môže útočník získať práva doménového administrátora, nakoľko však žiadne ďalšie detaily neboli zverejnené, nebolo jasné, o aký veľký problém v skutočnosti ide.
To sa však veľmi rýchlo zmenilo. 11. septembra zverejnila spoločnosť Secura, ktorá zraniteľnosť objavila, na svojom blogu krátky popis zraniteľnosti, z ktorého vyplynulo, že útočníkovi stačí byť v rovnakej sieti so zraniteľným doménovým kontrolérom na to, aby dokázal zmeniť heslo doménového administrátora a prakticky tak ovládol celú doménu. Následne, 14.9. spoločnosť zverejnila aj whitepaper k tejto zraniteľnosti, vďaka ktorému sa prakticky ešte v ten deň objavilo viacero funkčných PoC (proof-of-concept) kódov, ktoré danú zraniteľnosť zneužívali.
Ukázalo sa, že zneužitie je veľmi jednoduché – stačí doplniť nuly do niektorých parametrov pri použití protokolu Netlogon (preto Zerologon), a ide skutočne o kritickú zraniteľnosť. Reakcie na seba nenechali dlho čakať, predsalen ide o zraniteľnosť, ktorá znamená pre útočníkov kontrolu celej domény za pár sekúnd, namiesto dlhého lámania hashov hesiel, či útokov hrubou silou. Americký DHS (Department of Homeland Security) prostredníctvom CISA (Cybersecurity and Infrastructure Agency), ktorá je istou obdobou nášho NÚKIBu, dokonca vydal nariadenie, ktorým prikazuje organizáciam vo svojej pôsobnosti, aby bezodkladne nainštalovali záplaty, ktoré danú zraniteľnosť opravujú.
Ako to však súvisí s WannaCry? WannaCry tiež spoliehal na zraniteľnosť, ktorá bola zverejnená a opravená niekoľko mesiacov pred ním, rovnako tak išlo o zraniteľnosť zneužiteľnú zo siete. Iste, Zerologon nie je zneužiteľný z Internetu, dopady sú však minimálne rovnaké a možno aj horšie – kým pri WannaCry ste museli preinštalovať prakticky celú infraštruktúru kvôli zašifrovaniu, pri zneužití Zerologon útočník získa práva doménového admina, čo môže byť ešte horšie, najmä vzhľadom na aktuálny vývoj ransomwaru, kde dominuje ransomware, ktorý najprv ukradne dáta a potom ich zašifruje.
Ak ste tak ešte neurobili, určite nainštalujte augustové Windows záplaty na váš doménový kontrolér, aby ste možnému zneužitiu tejto zraniteľností zabránili. A keď už ste pri tom, môžete začať riešiť aj ďalšie spôsoby ochrany pred (nielen) ransomwarom, napr. tie, o ktorých sme písali v jednom z minulých článkov “Ako sa nenechať vydierať ransomwarom”.
Dávid Kosť, Lead Security Analyst, AXENTA a.s.
Peter Jankovský, CTO, AXENTA a.s.
Obrázek: pikisuperstar / Freepik
