Av Bhabesh Raj Rai, Associate Security Analytics Engineer, LogPoint

Den 11 augusti 2020 släppte Microsoft en säkerhetsrekommendation för CVE-2020-1472, med en CVSS-poäng på 10. Rekommendationen rörde sig om ett kritiskt privilegieeskaleringsfel när en angripare upprättar en sårbar säker Netlogon-kanalanslutning till en domänkontrollant med hjälp av Netlogon Remote Protocol (MS-NRPC). Det som gör denna sårbarhet kritisk är att en obehörig angripare kan använda MS-NRPC för att ansluta till en domänkontrollant för att få tillgång till Domain Admin och utnyttja en sårbarhet.

Secura, vars forskare upptäckte sårbarheten, publicerade ett blogginlägg som beskrev de tekniska detaljerna i felet. Forskaren uppgav att ”sårbarheten härstammar från ett fel i ett kryptografiskt autentiseringsschema som används av Netlogon Remote Protocol, som bland annat kan användas för att uppdatera datorlösenord. Denna brist gör det möjligt för angripare att ”härma” vilken dator som helst, inklusive själva domänkontrollanten och exekvera fjärranrop för dess räkning.”

Den 14 september 2020 erkände Cybersecurity and Infrastructure Security Agency (CISA) allvarlighetsgraden av Zerologon-sårbarheten och utfärdade en säkerhetsrekommendation som uppmanade användare och administratörer att tillämpa nödvändiga uppdateringar.

Flera PoC-koder (Proof of Concept) har publicerats på Github som ger angripare full tillgång till företagens domänkontrollanter (DC:er). Dessutom upptäcker och utnyttjar den nya Mimikatz-releasen Zerologon-sårbarheten.

Dessutom släppte Microsoft ytterligare en rekommendation som beskriver hur man hanterar ändringarna i Netlogons säkra kanalanslutningar som är associerade med CVE-2020-1472 efter patchinstallationen.

Identifiera Zerologon-sårbarheten

Sök efter händelse-ID 4742 för att identifiera missbruk av Zerologon-sårbarheten. Specifikt ska du söka efter ANONYMOUS LOGON-användare och SID i händelse-ID 4742 med fältet Password Last Set (Lösenord senast inställt) ändrat.

You can also look for account change-related activity of all domain controllers in the Active Directory.

norm_id=WinServer label=Computer label=Account label=Change computer=* user="ANONYMOUS LOGON" user_id="S-1-5-7" password_last_set_ts=*

In August’s update, Microsoft added five new event IDs to notify vulnerable Netlogon connections. For example, the event ID 5829 is generated when a vulnerable Netlogon secure channel connection is allowed during an initial deployment phase.

norm_id=WinServer event_id=5829

Furthermore, admins can monitor event IDs 5827 and 5828, triggered when vulnerable Netlogon connections are denied, and event IDs 5830 and 5831, triggered when vulnerable Netlogon connections are allowed by the patched domain controllers via Group Policy. However, after the patch installation, domain controllers may experience a sudden increase in the number of these events in the System log.

To detect Mimikatz trying to exploit Zerologon, look for the event ID 4648 (Logins using explicit credentials) with suspicious processes.

Slutligen är opatchade system ett attraktivt mål för illasinnade aktörer. Vi rekommenderar att systemadministratörer installerar patchen från och med augustis Patch Tuesday för alla domänkontrollanter för att undvika intrång. Från och med nu är Mimikatz utrustat med Zerologon. Med tanke på omständigheterna är det viktigt att övervaka aktiviteten i din miljö.

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews