Af Bhabesh Raj Rai, Associate Security Analytics Engineer

Den 11. august 2020 udsendte Microsoft sikkerhedsvejledning for CVE-2020-1472 med en CVSS-score på 10, en kritisk fejl i forbindelse med eskalering af rettigheder, når en angriber etablerer en sårbar Netlogon sikker kanalforbindelse til en domænecontroller ved hjælp af Netlogon Remote Protocol (MS-NRPC). Det, der gør denne fejl kritisk, er, at en uautoriseret modstander bruger MS-NRPC til at oprette forbindelse til en domænecontroller for at få adgang til domæneadmin. for at udnytte en sårbarhed.

Secura, hvis forsker opdagede sårbarheden, udsendte en blog, der skitserer de tekniske detaljer ved fejlen. Forskeren udtalte, at “sårbarheden skyldes en fejl i et kryptografisk godkendelsessystem, der anvendes af Netlogon Remote Protocol, som blandt andet kan bruges til at opdatere computeradgangskoder. Denne fejl gør det muligt for angribere at udgive sig for at være en hvilken som helst computer, herunder domænecontrolleren selv, og udføre fjernprocedureopkald på dennes vegne.”

Den 14. september 2020 erkendte Cybersecurity and Infrastructure Security Agency (CISA) Zerologons sårbarhed og udsendte sikkerhedsvejledning, der opfordrede brugere og administratorer til at anvende de nødvendige opdateringer.

Flere proof-of-concept (PoC) koder er blevet frigivet i Github, hvilket giver angribere fuld adgang til virksomheders domænecontrollere (DC’er). Den nye Mimikatz-udgivelse registrerer og udnytter også Zerologons sårbarhed.

Desuden har Microsoft udsendt endnu en vejledning, der beskriver, hvordan ændringerne i Netlogons sikre kanalforbindelser i forbindelse med CVE-2020-1472 skal håndteres efter installation af programrettelsen.

Detektion af Zerologons sårbarhed

Se efter hændelses-ID 4742 for at finde misbrug af Zerologon-sårbarheden. For at være specifik skal du søge efter ANONYMOUS LOGON-brugere og SID i hændelses-ID 4742 med feltet Password Last Set ændret.

Du kan også søge efter kontoændringsrelateret aktivitet for alle domænecontrollere i Active Directory.

norm_id=WinServer label=Computer label=Account label=Change computer=* user="ANONYMOUS LOGON" user_id="S-1-5-7" password_last_set_ts=*

I august-opdateringen tilføjede Microsoft fem nye hændelses-ID’er for at underrette om sårbare Netlogon-forbindelser. Hændelses-ID 5829 genereres f.eks., når en sårbar Netlogon-forbindelse er tilladt i en indledende udrulningsfase.

norm_id=WinServer event_id=5829

Desuden kan administratorer overvåge hændelses-ID’erne 5827 og 5828, der udløses, når sårbare Netlogon-forbindelser afvises, og hændelses-ID’erne 5830 og 5831 udløses, når sårbare Netlogon-forbindelser tillades af de patchede domænecontrollere via Group Policy. Efter installation af patchen kan domænecontrollere dog opleve en pludselig stigning i antallet af disse hændelser i systemloggen.

For at identificere Mimikatz, der forsøger at udnytte Zerologon, skal du se efter hændelses-ID 4648 (Logins med eksplicitte akkreditiver) med mistænkelige processer.

Endelig er ikke-patchede systemer et attraktivt mål for ondsindede aktører. Vi anbefaler, at systemadministratorer installerer programrettelsen fra August’s Patch Tuesday for alle domænecontrollere for at undgå problemer. Fra nu af er Mimikatz bevæbnet med Zerologon. I betragtning af omstændighederne er det afgørende at overvåge aktiviteten i dit miljø.

 

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser