Avec un accès réseau à un contrôleur de domaine sur le réseau de l'entreprise, un attaquant peut modifier le mot de passe sur le serveur et obtenir un contrôle complet sur l'infrastructure de l'entreprise. Une attaque en plusieurs étapes sur des serveurs Windows moins critiques est également possible avec le même résultat final. Le nom non officiel - Zerologon - a été donné à la vulnérabilité en raison des spécificités de l'attaque: elle commence par des tentatives d'établir une connexion en utilisant une séquence de données de tous les zéros. Une implémentation incorrecte de l'algorithme de chiffrement AES vous permet de vous connecter au serveur à partir d'un maximum de 256e tentative, ce qui prend en pratique quelques secondes.
La vulnérabilité a été abordée en dehors de Microsoft la semaine dernière. Un correctif non officiel pour Windows Server 2008 R2 a été publié. Il existe également un correctif officiel pour ce système d'exploitation , mais à partir de janvier de cette année, il ne sera installé que par ceux qui ont acheté le package de support étendu pour l'ancienne version.
De plus, le problème a été résolu dans le code Samba. La vulnérabilité n'est pertinente que pour les installations où le serveur Samba est utilisé comme contrôleur de domaine. Puisque cette construction suppose de suivre les spécifications du protocole Netlogon (et que l'erreur est en eux, ce n'est pas un bug logiciel accidentel), Samba était également parmi les victimes.
Sources:
- Bulletin de présentation des vulnérabilités Microsoft
- Instructions pour les administrateurs système
- , Secura
- Windows Server 2008 R2
- Samba
La gravité du problème est soulignée par la directive de l'Agence américaine de cybersécurité sur la nécessité de déployer d'urgence un patch dans l'infrastructure des agences fédérales. Comme il ressort de la description de la vulnérabilité fournie par les pionniers - Secura, la source du problème était l'implémentation incorrecte de l'algorithme de chiffrement AES en mode non standard CFB8 .
L'autorisation de deux systèmes via le protocole Netlogon implique l'échange de deux nombres arbitraires de 8 octets, appelés clés de session. Le processus de cryptage AES-CFB8 utilise ces clés aléatoires et un vecteur d'initialisation (IV), une autre séquence unique de 16 octets. Plus précisément, il doit être unique: la spécification Netlogon stipule que IV se compose toujours de zéros.
Le chercheur Tom Turworth a découvert ce qui suit: si vous donnez à l'algorithme en entrée une clé de session de huit zéros et effectuez 256 tentatives de connexion, dans l'une d'elles, la combinaison d'une clé zéro et d'un vecteur d'initialisation zéro donnera un ClientCredential zéro. Sachant cela, nous pouvons nous connecter au serveur, comme n'importe quel ordinateur du domaine. À ce stade, l'attaquant ne peut toujours pas échanger des données chiffrées, mais ce n'est pas nécessaire: le serveur établira facilement une session sans chiffrement, apparemment pour prendre en charge les anciens systèmes d'exploitation. En conséquence, il devient possible de se connecter en tant qu'administrateur du serveur attaqué et de modifier le mot de passe dans Active Directory.
En pratique, le processus d'attaque nécessite des étapes supplémentaires, mais si vous avez un accès réseau au contrôleur de domaine (lors de l'accès au réseau local), elles sont assez simples. Il y a deux semaines, un exploit pour la vulnérabilité a été rendu public, et il y a déjà des rapports d'attaques réelles sur des serveurs Windows.
À en juger par les données des instructions de Microsoft aux administrateurs, la vulnérabilité sera fermée en deux étapes. Le premier, à partir du 11 août (si vous avez installé le correctif, bien sûr), les anciens systèmes qui ne peuvent se connecter qu'au domaine en utilisant le protocole vulnérable pourront le faire. Dans ce cas, le bien connuméthode d’attaque, mais il peut y avoir d’autres méthodes plus sophistiquées. Dans la deuxième phase, à partir du 9 février 2021, les serveurs pris en charge abandonneront les connexions sans chiffrer les données par défaut. En d'autres termes, certaines organisations ajoutent des maux de tête aux administrateurs pour identifier et mettre à jour les systèmes hérités. Dans tous les cas, il faut fermer la vulnérabilité, le coût du piratage est trop élevé.
Que s'est-il passé d'autre:
Les codes sources de Windows XP et d'autres anciens systèmes d'exploitation Microsoft ont fui . L'archive de 43 gigaoctets est apparue dans le domaine public la semaine dernière. L'exhaustivité et la qualité de la fuite n'ont pas encore été correctement appréciées. Cela conduira peut-être à la découverte de nouvelles vulnérabilités critiques dans Windows XP, que personne ne corrigera plus. D'un autre côté, même les bugs connus de cet OS le rendent non sécurisé; la fuite dans ce cas ne change rien.
Une vulnérabilité critique dans Firefox pour Android vous permet de lancer à distance un navigateur qui ouvrira une URL arbitraire. La sortie de bureau Firefox 81 et ESR 78.3 ferme un autre lot de bogues critiques.
DécouvertCheval de Troie pour Android qui intercepte les messages avec des codes d'autorisation à usage unique et vole des données pour accéder à la messagerie Telegram et aux services Google. Un autre cheval de Troie bancaire pour Android utilise TeamViewer pour contrôler à distance un appareil.
Sophos enquête sur une campagne d'escroquerie offrant un "accès anticipé" à l'iPhone 12. L'escroquerie commence par iMessage et se termine par le vol de carte de crédit.
Check Point Software a publié une étude sur une vulnérabilité critique de l'application Instagram pour iOS et Android. L'exécution de code arbitraire a été rendue possible par un bogue dans la bibliothèque qui décode les images JPEG.