Amerikansk myndighed advarer om kritisk sikkerhedshul i Windows-servere: »Kan udnyttes på tre sekunder«

Illustration: kenny001/Bigstock
Myndigheden for cybersikkerhed i USA advarer offentlige institutioner mod den såkaldte Zerologon-sårbarhed. Sårbarheden skal senest patches mandag, lyder det.

Den amerikanske myndighed for cybersikkerhed (CISA) opfordrer i en sjælden advarsel andre myndigheder i USA til at installere en patch, som lukker et »kritisk« sikkerhedshul i Windows-servere.

Det skriver Techcrunch.

Sikkerhedshullet er kendt som Zerologon, og det findes i den såkaldte Netlogon Remote Protocol hos serverne. Fejlen lader angribere med netværksadgang »fuldstændig kompromittere« Active Directory-tjenester på et netværk uden at bruge et login. Active Directory bruges til administration af Windows-netværk.

CISA har oplyst, at advarslen er blevet sendt ud af flere årsager. Dels på grund af de alvorlige konsekvenser, der kan være, hvis fejlen bliver udnyttet, men også på grund af mængden af Windows-servere, som sårbarheden kan udnyttes på. Det er nemlig både systemer, som kører med Windows Server 2008 R2, men også nyere versioner såsom servere baseret på Windows 10, der er sårbare.

Det er sikkerhedsvirksomheden Secura, der har fundet sårbarheden, og ifølge firmaet kan sårbarheden udnyttes »på omkring tre sekunder«.

I advarslen fra CISA fremgår det, at myndigheder i USA skal have installeret patchen, som lukker hullet, senest i dag, mandag den 21. september.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Maciej Szeliga

...til CISA, DHS, CVE eller Microsoft ?

Patchen er en måned gammel men kræver at man ændrer noget i registry på DC'erne - problemet er at der er mange upatchede systemer og sandsynligvis mange systemer hvor registry ændringen potentielt saboterer "noget andet".

Fiksen, på systemer som har fået patchen, er at sætte HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\FullSecureChannelProtection til 1

https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-chang...

  • 5
  • 1
#2 Povl H. Pedersen

Patch lukker hullet uden registry ændringen. Jeg antager at patch lukker muligheden for IV = 0 - Og dermed ændrer kompleksiteten fra nul til at der skal bruges ressourcer.

Registry ændring rulles ud med februar patches. Det ødelægger kompatibilitet med meget gamle klienter. Microsoft logger nu med patchen om der er noget der bruger den gamle metode, så man har tid til at finde sine museumsfund inden februar.

Exploit uden patch er triviel - Eskalerede selv til "patch eller sluk" torsdag formiddag i sidste uge da exploits var ude.

Det er overrasker mig mest er, at der ikke er konstateret mailspam kampagner med exploit endnu. Der kan ikke gå mange dage.

  • 2
  • 0
#4 Povl H. Pedersen

Ingen tests fungerer mod en patchet maskine, ligeledes siger DHS også at patch er nok.

Har kørt exploits mod begge typer maskiner, og andre har samme erfaring. Ingen af de exploits der er på GitHub virker på en patchet maskine. Andre rapporterer det samme.

Registry key tvinger authentication til at køre secure channel, altså gammel protokol i en forbindelse der allerede er sikret/valideret.

Det store hul skyldes at klient kan vælge en IV med 0'er, og dermed sikre at den krypterede shared secret bliver 0. Der er taget lidt specielle valg omkring både kryptering, og hvordan det anvendes. Når shared secret så er godkendt er der et gammelt kald der kan anvendes på samme forbindelse til at sætte et nyt maskinpassword. Det kan også være dette er disabled (?)

Når man så har sat et nyt password, f.eks. på den DC man lige har talt med, så logger man efterfølgende på DC'en og påstår at man er DC'en selv, og bruger det nye password. Herefter kan man så pushe opdateringer til AD. F.eks. GPO'er, nye brugere og passwords etc.

En konsekvens af et hack skulle være issues i AD synkronisering og diverse andre problemer. Men principielt kan man lavet reset af DC'ens password i AD efterfølgende, så der måske ikke når at komme events.

Men som sagt, trivielt at udnytte i eksempelvis mailware payload i en mail.

  • 0
  • 0
#5 Maciej Szeliga

Har kørt exploits mod begge typer maskiner, og andre har samme erfaring. Ingen af de exploits der er på GitHub virker på en patchet maskine. Andre rapporterer det samme.

Mange tak. Det syntes jeg ikke fremgår ret tydeligt af Microsofts side.

Men som sagt, trivielt at udnytte i eksempelvis mailware payload i en mail.

Overskriften i CW i går "antydede" at det er dette hul som blev udnyttet mod BlueWater Shipping - hvis det er tilfældet så mon ikke det er kommet via en mail ? (artikel var bag paywall)

  • 0
  • 0
Log ind eller Opret konto for at kommentere