Pravidelné aktualizace počítačových systémů je proces, který patrně nikoho netěší a který navíc nikdy nekončí. I když aktualizace provádíme pravidelně a rutinně, čas od času se objeví informace o chybě, nad kterou jen nevěřícně kroutíme hlavami.
Jednou z posledních z tohoto ranku je chyba s označením „CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability“, známější pod jménem „Zerologon“. Ta byla označena jako kritická s hodnocením 10. Díky tomu má zajištěnu vysokou míru pozornosti útočníků, administrátorů a vůbec všech, kteří se zabývají bezpečností v IT. Špatnou zprávou je, že prakticky kdokoliv je schopen zneužitím chyby převzít kontrolou na prostředím domény Active Directory (bez ohledu na verze provozovaných operačních systémů). Dobrou zprávou naopak je, že chyba byla opravena již v rámci srpnových záplat operačních systémů Windows Server v loňském roce.
Všechny řadiče domény aktualizovány a restartovány? Ne? Tak všeho nechte a jděte na to, chyba se opravdu aktivně zneužívá, po internetu kolují hotové záškodnické nástroje (a jde to i bez nich).
Aktualizováno? Výborně, můžeme pokračovat, protože ještě nejsme hotovi.
Nejdříve trochu teorie
Pojmenování Zerologon vtipně spojuje nuly a Netlogon, tedy hlavní aktéry našeho malého povídání.
Netlogon je rozhraní typu RPC běžící na řadičích domény, které je klienty používáno k různým účelům, jako je například přihlašování uživatelů nebo počítačů k prostředkům serverů a domény. Stejně tak (a to je pro nás důležité) umožňuje účtům počítačů měnit si heslo v doméně. Netlogon používají nejen klienti s operačním systémem Windows, ale také mnoho dalších svobodných implementací, jako je například Samba. Ano, Zerologon se týká také Linuxového světa a zranitelnost je postupně opravována v nových verzích, třeba právě u Samby.
Při navazování nové Netlogon session si server a klient vzájemně vyměňují náhodně vygenerované řetězce (challenges), na které aplikují různé kryptografické algoritmy. Koho zajímají technické detaily, najde velmi podrobný a velmi technicky popis v dokumentaci na odkazu na konci tohoto textu. Nám nyní postačí si připomenout, že kryptografie je super, pokud se někde něco nepřehlédne.
Asi už tušíte, že když budeme pracovat s nulami, možná narazíme na neočekávané chyby – a máte pravdu. Specifikace protokolu sama počítá s doplňováním nul na určitá místa, a když onen výše zmiňovaný řetězec při útoku nahradíme také nulami, máme velkou šanci (1:256), že naše session bude řadičem domény úspěšně ověřena. Účty počítačů se v doméně nezamykají, útočník má tedy mnoho pokusů a do pár vteřin je úspěšně ověřen. Nezná sice heslo účtu počítače, ale zneužitím dalších postupů (které opět zahrnují různá kouzla s nulami) má možnost třeba změnit heslo účtu libovolného počítače v doméně. Libovolného. Třeba řadiče domény.
Právě vám asi probíhají před očima mžitky doprovázené různými neveselými scénáři – od DoS útoku (reset hesel všem počítačům v doméně) přes získání hashů hesel uživatelů a administrátorů z databáze AD, až po získání populárního „golden ticket“.
A dále už prakticky
Oprava zranitelnosti CVE-2020-1472 není zcela jednoduchá, a tentokrát nestačí nainstalovat aktualizace a zapomenout. Jak jsme již zmiňovali, Netlogon mohou používat další systémy, které nemusí být možné jednoduše aktualizovat. Proto byl proces opravy rozdělen do dvou fází, mezi kterými je potřeba se připravit na dokončení konfigurace zabezpečení.
Toto období je nyní téměř u konce a zbývá už jen několik málo pracovních dnů na dokončení dvou zásadních kroků:
- detekovat nekompatibilní systémy
- zajistit jejich aktualizaci a dočasně je přidat do výjimek, pokud opravdu nelze jinak
Shrňme si tedy načasování:
Fáze 1 – srpen 2020: Instalace aktualizací
- Průběžné zajištění bezpečnějšího používání RPC
- Dostupnost nového nastavení skupinových zásad (GPO), které umožňují aktivaci tzv. „enforcement mode“ ještě před spuštěním fáze 2
- V protokolu událostí se zobrazují nové události umožňující získat přehled o aktuálním stavu prostředků a požadavcích klientů – tedy detekovat případné útoky nebo systémy
- vyžadující další konfiguraci
V této fázi jsou tedy po instalaci chráněny účty řadičů domény a počítače Windows v doméně. Nejsou chráněny počítače, které jsou přidány do GPO v sekci „Domain controller: Allow vulnerable Netlogon secure channel connections“. Samozřejmě pouze v okamžiku, kdy jsou aktualizace nainstalovány na všechny řadiče domény.
Účty počítačů třetích stran (non-compliant) mohou stále navazovat nezabezpečené spojení, což může vést k útoku. Právě v této fázi je důležité sledovat tato připojení v protokolech událostí (Event ID 5829 v logu System), vytvořit seznam takových zařízení včetně možností jejich aktualizace nebo rekonfigurace a zamezit tak využívání zranitelného způsobu připojení. Pokud takové zařízení v síti nevyužíváte, je možné aktivovat „enforcement mode“ již v tuto chvíli.
Fáze 2 –únor 2021: Instalace nových aktualizací (od 9. února 2021)
- Aktivace „enforcement“ režimu pro všechny typy (tedy automaticky)
- Volitelná definice výjimek pro účty, kterým bude umožněno i nadále využívat zranitelný způsob přístupu k Netlogon i za cenu rizika zneužití chyby a získání neoprávněného přístupu k doméně.
V tomto okamžiku jsou všechny zranitelné pokusy o přístup blokovány (Event ID 5827 a 5828 v logu System), nejsou-li explicitně povoleny v GPO (pak Event ID 5830 a 5831).
Pokud jste tedy kontrolu odkládali, je nejvyšší čas vyhledat v lozích řadičů domény události ID 5829. Pokud je nenajdete, můžete si pogratulovat a rovnou aktivovat „enforcement mode“, případně jen vyčkat na jeho automatickou aktivaci.
Pokud na událost ID 5829 v logu narazíte, doporučujeme kontaktovat výrobce a zjistit možnosti zajištění podpory pro zabezpečené připojení RPC s Netlogon secure channel. Pokud je to možné, podporu otestujte a povolte. Pokud podporu nelze aktivovat, zvažte náhradu takového zařízení nebo softwaru jiným řešením. Možnost přidání non-compliant zařízení do výjimek GPO je samozřejmě až poslední možností, kterou byste měli zvažovat, a rozhodně by nemělo jít o řešení konečné.
Ponaučení jsou stále stejná, jako vlastně vždy u podobných chyb – ať už známých, nebo neznámých:
- Velmi stará chyba se může objevit prakticky kdykoliv. Auditujte, vyhodnocujte, buďte podezřívaví. Předpokládejte, že podobné chyby se brzy objeví a připravte se, jak to jen jde.
- Ke každému zařízení na síti přistupujte jako k potenciálně kompromitovanému.
- Zveřejněné kódy a technické popisy nejsou zárukou toho, že neobsahují chybu.
- Aktualizace systémů musí být časté, pravidelné a nelze je odkládat.
- Systémy, které nelze aktualizovat z pohledu bezpečnosti jsou prvními kandidáty na výměnu nebo izolaci od zbytku sítě.
- Oddělujte segmenty sítě, povolujte jen nejnutnější komunikaci mezi klienty a servery, zamezte možnosti kontaktování produkčních sítí z „guest“ sítí.
- Sledujte novinky týkající se bezpečnosti pravidelně, vyhodnocujte stav vašeho prostředí a snažte se jej neustále udržovat aktuální a maximálně zabezpečené.
- Zálohujte, zálohujte, zálohujte. Testujte procesy a možnosti obnovy. Ujistěte se, že v případě napadení nebude možné zálohy znehodnotit nebo smazat ze samotných zálohovaných systémů.
- Aktivně procházejte vaše prostředí, snažte se myslet jako útočníci. Čas od času si objednejte služby etického hackera, penetrační testy nebo audit nezávislé společnosti zabývající se bezpečností.
- Pokud si nejste jisti v problematice bezpečnosti, je dobrý nápad se poradit. Služby odborníků na bezpečnost jsou výrazně levnější před útokem, než po něm.
A jako vždy sada nezbytných odkazů na závěr:
Popis chyby CVE-2020-1472 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
Jak se připravit na fázi 2, popis nových nastavení a logovaných událostí https://support.microsoft.com/en-au/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
Souhrnné informace od CISA https://us-cert.cisa.gov/ncas/alerts/aa20-283a
Opravy pro Sambu https://www.abclinuxu.cz/zpravicky/nova-samba-resi-cve-2020-1472-s-cvss-9.8
Skript pro detekci zranitelnosti https://github.com/SecuraBV/CVE-2020-1472
Skript pro usnadnění sledování událostí spojených s CVE-2020-1472 (z uložených .EVTX souborů) https://support.microsoft.com/en-us/help/4557233/script-to-help-in-monitoring-event-ids-related-to-changes-in-netlogon
Popis MS-NRPC: Netlogon Remote Protocol https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-nrpc/ff8f970f-3e37-40f7-bd4b-af7336e4792f
Doporučené nastavení GPO https://docs.microsoft.com/cs-cz/windows/security/threat-protection/security-policy-settings/domain-member-digitally-encrypt-or-sign-secure-channel-data-always
Informace o aktivním zneužívání chyby hackerskou skupinou „Cicada“ https://www.databreachtoday.com/chinese-hackers-exploit-zerologon-flaw-for-cyberespionage-a-15406
