Kritisk sårbarhet i Windows Server

Sårbarhet

Secura varnar för en sårbarhet i Windows Server som möjliggör att en oautentiserad användare får administratörsrättigheter på domänkontrollanter. CVE-2020-1472 går under benämningen Zerologon och har fått CVSS-klassningen 10 av 10. Samtliga versioner av Windows Server som stödjs och inte har fått uppdateringen som släpptes i augusti är sårbara. [1]Angreppet utnyttjar en svaghet i Netlogon-protokollet som bekräftar identiteten hos en maskin som ansluter till domänkontrollanten. Genom att förfalska en autentiseringsbiljett är det möjligt att ändra domänkontrollantens lösenord. Det är då möjligt att använda det nya lösenordet för att ta kontroll över domänkontrollanten och på så sätt komma över inloggningsuppgifterna för en domänadministratör.Sårbarheten åtgärdades i säkerhetsuppdateringen Microsoft släppte i augusti [2]. Secura har tillgängliggjort ett verktyg för att testa om en domänkontrollant är sårbar [1].Microsoft kommer släppa ytterligare en uppdatering i februari för att begränsa sårbarheten [3].

Uppdatering 2020-09-24

Microsoft har nu bekräftat att sårbarheten uttnyttjas aktivt [4,5].Berörda organisationer måste se till att alla domänkontrollanter har uppdaterats och det är viktigt att det inte finns några sårbara servrar kvar i verksamhetens infrastruktur. CISA / US-CERT har skrivit ett PowerShell-skript som kan användas för att verifiera att allt är uppdaterat [6]. Observera att även servrar som inte är kopplade till internet eller sk. read-only-domäner, måste uppdateras på grund av sårbarhetens allvarlighetsgrad.

Uppdatering 2020-09-29

Microsoft har publicerat ytterligare rekommendationer gällande åtgärderna av sårbarheten med säker RPC vid användande av Netlogon. Syftet är att säkerställa att nödvändiga steg genomförs för att skydda av miljön och undvika avbrott. För att skydda AD måste alla DC-enheter uppdateras (gäller även read-only domänkontrollanter). Se även uppdatering gällande hur enheter med sårbara anslutningar kan upptäckas [7].

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter. CERT-SE vill också poängtera att domänkontrollanter inte bör exponeras mot internet.

Källor

[1] https://www.secura.com/blog/zero-logon [2] https://www.cert.se/2020/08/manatliga-sakerhetsuppdateringar-fran-microsoft-och-adobe-for-augusti [3] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472 [4] https://twitter.com/MsftSecIntel/status/1308941504707063808 [5] https://www.computerweekly.com/news/252489539/Race-to-patch-as-Microsoft-confirms-Zerologon-attacks-in-the-wild [6] https://github.com/cisagov/cyber.dhs.gov/tree/master/assets/report/ed-20-04_script [7] https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc