Microsoft už v srpnu, v rámci tradičního tzv. Patch Tuesday, vydal opravu zranitelnosti CVE-2020-1472. Jde o zranitelnost v protokolu Netlogon, který je standardním způsobem autentizace počítačů v doméně. Původní zpráva o zranitelnosti obsahovala informaci o tom, že zneužitím této zranitelnosti může útočník získat práva doménového administrátora, protože však žádné další detaily nebyly zveřejněny, nebylo jasné, o jak velký problém ve skutečnosti jde.

To se však velmi rychle změnilo. 11. září zveřejnila společnost Secura, která zranitelnost objevila, na svém blogu krátký popis zranitelnosti, ze kterého vyplynulo, že útočníkovi stačí být ve stejné síti se zranitelným doménovým kontrolérem na to, aby dokázal změnit heslo doménového administrátora a prakticky tak ovládl celou doménu. Následně, 14.9. společnost zveřejnila i whitepaper k této zranitelnosti, díky kterému se prakticky ještě ten den objevilo několik funkčních PoC (proof-of-concept) kódů, které danou zranitelnost zneužívali.

Ukázalo se, že zneužití je velmi jednoduché – stačí doplnit nuly do některých parametrů při použití protokolu Netlogon (proto Zerologon), a jde skutečně o kritickou zranitelnost. Reakce na sebe nenechaly dlouho čekat, přece jde o zranitelnost, která znamená pro útočníky kontrolu celé domény za pár sekund, namísto dlouhého lámání algoritmů hashů hesel, či útoků hrubou silou. Americký DHS (Department of Homeland Security) prostřednictvím CISA (Cybersecurity and Infrastructure Agency), která je jistou obdobou našeho NÚKIBu, dokonce vydal nařízení, kterým přikazuje organizacím ve své působnosti, aby neprodleně nainstalovali záplaty, které danou zranitelnost opravují.

Jak to však souvisí s WannaCry? WannaCry také spoléhal na zranitelnost, která byla zveřejněna a opravena několik měsíců před ním, stejně tak šlo o zranitelnost zneužitelnou ze sítě. Jistě, Zerologon není zneužitelný z internetu, dopady jsou však minimálně stejné a možná i horší – zatímco při WannaCry jste museli přeinstalovat prakticky celou infrastrukturu kvůli zašifrování, při zneužití Zerologon útočník získá práva doménového admina, což může být ještě horší, zejména vzhledem k aktuálnímu vývoji ransomwaru, kde dominuje ransomware, který nejprve ukradne data a pak je zašifruje.

Pokud jste tak ještě neučinili, určitě nainstalujte srpnové Windows záplaty na váš doménový kontrolér, abyste možnému zneužití touto zranitelností zabránili. A když už jste u toho, můžete začít řešit i další způsoby ochrany před (nejen) ransomware, např. ty, o kterých jsme psali v jednom z minulých článků “Jak se nenechat vydírat ransomware“.

Dávid Kosť, Lead Security Analyst, AXENTA a.s.

Peter Jankovský, CTO, AXENTA a.s.

Obrázek: pikisuperstar / Freepik