Zerologon – co to takiego?

Zegologon to kolejne pojęcie, które powinniśmy kojarzyć z cyberatakami. Jest to jedna z podatności, która szerokim echem obiegła całe środowisko IT. Zerologon określa lukę w zabezpieczeniach firmy Microsoft. Przyjrzyjmy się dokładnie co to takiego.

Zereologon – co to?

Zerelogon to luka w zabezpieczeniach, która została przypisana pod nazwą identyfikatora

CVE-2020-1472. Dotyczy ona zabezpieczeń modułu kryptograficznego procesu Netlogon firmy Microsoft. Jej błędem źródłowym jest proces logowania, w którym wektor inicjacji powinien być liczbą losową, a w tym przypadku miał stałą wartość, składającą się z samych zer. Luka ta otrzymała maksymalną ocenę krytyczności, czyli 10/10. Zereologon bazuje na systemie kryptograficznym w protokole Microsoft Active Directory Netlogon Remote Protocol, przez co umożliwia logowanie się na serwerach korzystających z protokołu NTLM. Pozwala on zatem hakerowi na podszywanie się pod dowolny komputer, z włączeniem kontrolera domeny głównej. Cyberprzestępca w bardzo łatwy sposób może przejąć serwery Windows działające w sieciach korporacyjnych. O podatności długo nic się nie mówiło, aż po kilku miesiącach, holenderska firma ds. bezpieczeństwa opublikowała raport techniczny dokładnie opisujący, czym jest luka CVE-2020-1472.

Zerologon atak

Jak już zostało wspomniane luka umożliwia hakerowi przejęci kontroli nad kontrolerem domeny, w tym także nad jej kontrolerem głównym. W celu przeprowadzenia ataku wystarczy zmienić lub też usunąć hasło konta usługowego w kontrolerze, dzięki czemu cyberprzestępca zyskuje kontrolę nad całą siecią. Przeprowadzanie ataku z wykorzystaniem luki CVE-2020-1472 musi wykorzystać sesję TCP z kontrolerem domeny. Kiedy do czynienia mamy z fizyczną obecnością hakera w sieci może on mieć dostęp do otwartego portu danej firmy. Oznacza to, że napastnik może przeprowadzić atak z zewnątrz sieci, jeśli uzyska dostęp do miejsca, w którym może ustanowić sesję TCP z kontrolerem. Odkrywca podatności wykazał, iż jeden na 256 kluczy da szyfr składający się z samych zer. Jak łatwo się domyślić wygenerowanie szyfru składającego się z tych samych liczb przy użyciu tak małej liczby kluczy jest bardzo prosta, a komputerowi zajmuje jedynie kilka sekund. W praktyce oznacza to, że napastnik potrzebuje jedynie 256 prób, aby zdobyć dane do logowania lub hasło klienta sieci. W przypadku konta komputera lub maszyny liczba prób wpisania hasła jest nieograniczona, co pozwala hakerowi przeprowadzić niezliczoną ilość prób w bardzo krótkim czasie.

Poprawa podatności zerologon

Firma Microsoft zaczęła działać nad podatnością i publikować poprawki likwidujące zerologon. Wystosowała również prośbę o natychmiastową aktualizację serwerów Active Directory. Niemniej jednak ocenia się, że od pojawienia się jej na rynku do instalacji minęło średnio około pięciu miesięcy, a dodatkowo nie rozwiązała ona wszystkich problemów. Firma Microsoft wprowadziła tryb bezpiecznego kanału dostępu, z którego miały korzystać wszystkie urządzenia. W przeciwnym razie spotykały się one z odmową dostępu. W przypadku takich podatności należy szczególną uwagę zwrócić na bezpieczeństwo w sieci. Najprościej zacząć od tradycyjnych środków bezpieczeństwa, czyli monitoringu stanu kont i sieci pozwalającego wykryć złośliwy ruch. Kolejnym krokiem są systemy zapobiegające włamaniom i oprogramowania antimalware, dzięki którym zyskujemy monitoring oprogramowania ransomware, wirusów i innych zagrożeń. W przypadku dokonanego już ataku należy podjąć jak najszybszą reakcję, która pozwoli zmniejszyć jego skutki i zapobiegać podobnym incydentom w przyszłości. Do wykonania takich czynności potrzebny jest zespół posiadający odpowiednią wiedzę. Czynności te mogą wykonać dla firmy specjaliści w ramach usługi analizy powłamaniowej. Jest to niezbędna reakcja na atak, w którym zostały naruszone dane firmy.

Zerologon zmienił zasady ataków, gdyż okazał się być prostym do przeprowadzenia atakiem z bardzo poważnymi i szkodliwy konsekwencjami. Działy IT stanęły w gotowości, aby jak najszybciej zapobiec tej podatności, jednak zdążyła ona wyrządzić wiele poważnych szkód, zanim udało się na dobre wprowadzić poprawki bezpieczeństwa.