У серпні 2020 року Microsoft випустила оновлення, що закриває критичну уразливість в Active Directory – CVE-2020-1472 (Більш відому, як Нульолог), Яке ще 2 місяці тому було успішно встановлено на всіх DC. Але не всі адміністратори знають, що цим оновленням для контролерів домену історія не закінчиться. У цій статті ми розглянемо особливості уразливості Zerologon, як захистити від неї контролери домену AD, чому в лютому буде ще одне оновлення Zerologon і що з усім цим робити адміністратору домену.

У чому особливість уразливості CVE-2020-1472 (ZeroLogon)?

Критична вразливість CVE-2020-1472 в Active Directory на всіх версіях Windows Server (2008 R2, 2012 2016, 2019) дозволяє нерозпізнаних атакуючому віддалено отримати права адміністратора домена. За рахунок помилки в реалізації протоколу шифрування AES-CFB8 в Netlogon Remote Protocol (MS-NRPC) атакуючий, який має доступ по мережі до контролера домену, може ескаліровать свої привілеї і змінити пароль облікового запису контролера домену в AD. Після цього атакуючий може авторизуватися на DC з правами SYSTEM і отримати повний доступ до бази Active Directory (скинути паролі адміністраторів домену, або будь-які інші дії в AD).

Протокол Netlogon служить для аутентифікації користувачів і комп’ютерах в доменних мережах AD. У тому числі протокол Netlogon використовується для віддаленого поновлення пароля облікових записів комп’ютерів в домені AD.

Для реалізації вразливості Zerologon атакуючому потрібно встановити з’єднання через Netlogon (використовуються порти RPC локатора TCP / 135, динамічний діапазон RPC і протокол SMB по порту TCP / 445) за допомогою певної послідовності, що починається з нулів (zero). Уразливість в Netlogon дозволяє видати себе за легітимний комп’ютер домену, а ескалація привілеїв дозволяє змінити пароль облікового запису DC.

Даною уразливості присвоєно максимальний рейтинг CVSS – 10 з 10 балів.

Уразливості піддаються всі версії Windows Server:

  • Windows Server 2019, Windows Server 2016;
  • Windows Server 2004, 1909, 1903;
  • Windows Server 2012 R2 / 2012;
  • Windows Server 2008 R2 SP 1.

На даний момент в публічному доступі є кілька працюючих експлойтів Zerologon (в тому числі модуль zerologon був доданий в mimikatz).

mimikatz використання уразливості Zerologon

Чи не тестируйте zerologon експлоїти в своїй мережі, тому що при скиданні пароля DC на порожній ви можете пошкодити свою інфраструктуру AD.

Є і Python скрипт для тестування ваших DC на zerologon вразливість – https://github.com/SecuraBV/CVE-2020-1472.

Оновлення Windows Server для захисту від критичної уразливості Zerologon

У зв’язку з тим, що термін розширеної підтримки Windows Server 2008 R2 завершений на початку цього року, Microsoft не має випустила загальнодоступне виправлення для цієї версії ОС. Однак якщо ви придбали річну платну підписку Розширені оновлення безпеки (ESU), ви можете отримати і встановити оновлення 4571729.

Для Windows Server 2008 R2 є неофіційний патч уразливості Zerologon – 0 патч (Https://blog.0patch.com/2020/09/micropatch-for-zerologon-perfect.html). Ви можете використовувати його на свій страх і ризик.

Для інших версій Windows Server оновлення доступні через Windows Update, WSUS або ви можете завантажити їх в Microsoft Update Catalog і встановити msu файли вручну.

Як захистити домен Active Directory від уразливості ZeroLogon?

Оновлення, що закривають вразливість Zerologon, були випущені ще в серпні 2020 року. Щоб захистити ваші сервера, вам необхідно встановити серпневе (або більш пізній) кумулятивне оновлення для вашої версії Windows Server на всіх контролерах домену.

Але насправді все не закінчується з установкою цього патча.

Microsoft планує виправити уразливість Zerologon в два етапи, що дозволяють відносно плавно перейти на безпечний віддалений виклик процедур (RPC) в Netlogon:

  1. Перший етап. Серпневий патч є екстрену латочка для контролерів домену від відомого сценарію атаки. Але це не повноцінно усунення вразливості (можливі й інші сценарії атаки на DC через Netlogon). Застарілі системи, які не підтримують нову, безпечну версію протоколу RPC для Netlogon, все ще можуть підключитися до контролера домену;
  2. Другий етап. Наступне оновлення заплановано на 9 лютого 2021 року. Після установки цього оновлення все сервера повинні відхиляти підключення, що виконуються через стару версію протоколу Netlogon (втім, для legacy систем можна зробити виключення з допомогою GPO, про це трохи нижче).

Після установки першого поновлення в журналах контролерів домену ви можете виявити події підключення по небезпечною версії Netlogon RPC. Крім того, якщо у вас не залишилося legacy пристроїв, ви можете заздалегідь, не чекаючи 2021 року відключити на DC підтримку старої версії Netlogon RPC (за допомогою параметра реєстру FullSecureChannelProtection).

Після установки оновлень безпеки, в журналах контролерів домену стануть фіксуватися подію підключення комп’ютерів за допомогою вразливою версії протоколу Netlogon. Потрібно звертати увагу на наступні EventID від джерела НЕТЛОГОН в журнале Переглядач подій -> Журнали Windows -> Система:

  • EventID 5827 і 5828The Netlogon service denied a vulnerable Netlogon secure channel connection from a machine account. Дане повідомлення говорить про те, що для даного комп’ютера заборонено підключення по вразливою версії протоколу Netlogon (до лютого 2021 року ця подія інформаційне, реальних дій по забороні підключень не виконується); EventID 5827 Послуга Netlogon відмовила вразливому з'єднанню захищеного каналу Netlogon з облікового запису машини

    Можна зберегти всі події в CSV файл і проаналізувати імена підключаються до DC пристроїв за допомогою PowerShell команди:
    Get-EventLog -LogName System -InstanceId 5827 -Source NETLOGON|Select-Object message| Export-Csv c:ps5827.csv -Encoding utf8

  • EventID 5829 – дозволено підключення по вразливою версії Netlogon
    Ідентифікатор події 583, 5831
    – підключення по вразливою версії Netlogon дозволено завдяки за рахунок наявності пристрою в політиці «Domain controller: Allow vulnerable Netlogon secure channel connections».

До лютого 2021 вам потрібно встановити актуальні оновлюючи безпеки на всіх виявлених пристроях. На Windows досить встановити актуальний кумулятивне оновлення. На інших пристроях, що використовують Netlogon Remote Protocol, потрібно запросити оновлення у вендора.

У лютому буде випущено окремо оновлення безпеки, яке в обов’язковому порядку переведе контролер домену в режим, в якому все підключаються пристрої в обов’язковому порядку повинні використовувати безпечну версію протоколу Netlogon. При цьому пристрої, зазначені в подію 5829 (не підтримує захищену версію Netlogon) не зможуть коректно працювати в домені. Такі пристрої доведеться вручну додавати в виключення GPO

Це означає, що у вашому домені не зможуть нормально працювати зняті з підтримки версії Win: Windows XP / Windows Server 2003 / Vista / 2008.

Групові політики для Zerologon

Якщо у вашій мережі не залишилося пристроїв, що підтримують тільки небезпечну версію, ви можете створити окрему GPO політику, яка примусово переведе всі DC в мережі на використання безпечної версії протоколу Netlogon не чекаючи 9 лютого 2021 року (коли буде випущено оновлення другого етапу, що забороняє підключатися по небезпечною версії Netlogon). Для цього потрібно за допомогою GPO поширити наступний ключ реєстру на все DC:

  • гілка HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParameters
  • Тип параметра: DWORD
  • Ім’я параметра: FullSecureChannelProtection

Можливі значення:

  • 1 – заборона на використання вразливою версії Netlogon для установки з’єднання з DC. Даний ключ не діє на акаунти, додані в політику “Domain controller: Allow vulnerable Netlogon secure channel connections» (див нижче);
  • 0 – дозволити DC приймати підключення з вразливою версією Netlogon з не-Windows пристроїв;

параметр реєстру FullSecureChannelProtection

Як дозволити підключення до DC через Netlogon зі сторонніх пристроїв?

У групових політиках з’явився окремий параметр, що дозволяє вирішити певним пристроїв / акаунтів використовувати вразливу версію Netlogon для підключення до DC. Ця політика називається Контролер домену: Дозвольте вразливим безпечним з’єднанням каналів Netlogon і знаходиться в розділі Конфігурація комп’ютера -> Налаштування Windows -> Налаштування безпеки -> Локальна політика -> Параметри безпеки.

нова групова політика Domain controller: Allow vulnerable Netlogon secure channel connections
Вам потрібно створити групи безпеки в AD, додати в неї акаунти / пристрої, яким потрібно дозволити встановлювати безпечний канал з контролером домену без використання нової версії Netlogon RPC.

Увімкніть політику для DC (на рівні Default Domain Controller policy), натисніть кнопку Визначте безпеку і вкажіть групу, якій дозволено використовувати небезпечний Netlogon (Створити вразливе з’єднання -> Дозвольте).

  • Active Directory Domain Services: служби Active Directory тепер можна перезапускати
  • Відновлення Active Directory з резервної копії
  • Група захищених користувачів Active Directory
  • Leave a Reply

    Your email address will not be published. Required fields are marked *