Follow

[t.me/tech_b0lt_Genona/2078]

Большой шум поднялся в инфосек сообществе после опубликования secura.com/blog/zero-logon сегодня голландской инфосек компанией Secure BV технических подробностей устраненной Microsoft в августовском обновлении уязвимости CVE-2020-1472, получившей название Zerologon.

Хотя ранее и было известно, что ошибка получила 10 из 10 по шкале критичности и касается

[Откройте оригинальный пост по ссылке, либо прочитайте продолжение в ответах к посту.]

· · tg-mstdn · 1 · 3 · 0

[Продолжение t.me/tech_b0lt_Genona/2078]

повышения привилегий в Netlogon, службе аутентификации в Windows Server, полной информации не было. Она появилась сегодня и поставила всех на уши.

Уязвимость заключается в недостатке в криптографической аутентификации протокола Netlogon Remote Protocol. Она позволяет злоумышленнику выдавать себя за любой хост в сети, включая сам контроллер домена. Кроме того, хакер может отключить функции безопасности аутентификации Netlogon и изменить пароль

Show thread

[Продолжение t.me/tech_b0lt_Genona/2078]

в Active Directory.

В чем же конкретно содержалась ошибка? В реализации алгоритма шифрования AES-CFB8 в функции ComputeNetlogonCredential, где вектор инициализации (IV) является фиксированным и состоит из 16 нулевых байтов, хотя по требованиям безопасности он должен быть случайным. В итоге для 1 из 256 ключей применение шифрования к вводу, состоящему из всех нулей, даст такой же нулевой вывод.

Чем же это плохо? А тем, что хакер, попробовав

Show thread

[Продолжение t.me/tech_b0lt_Genona/2078]

несколько раз подряд (среднее ожидаемое количество попыток равняется 256), может обойти процесс аутентификации, поскольку один из ключевых его параметров, ClientCredential, вычисляется как раз с помощью ComputeNetlogonCredential. То есть в среднем в 1 из 256 попыток сервер при получении клиентского запроса из 8 нулей будет ожидать ClientCredential также из 8 нулей.

А поскольку аккаунт подключающегося компьютера не блокируется в случае

Show thread

[Продолжение t.me/tech_b0lt_Genona/2078]

неверного ответа, то с помощью простой последовательности попыток напихать серверу 8 нулей, которая займет около 3 секунд, злоумышленник пройдет процесс аутентификации.

В дальнейшем хакер предпримет еще несколько трюков, связанных с уязвимостью ComputeNetlogonCredential, чтобы полноценно взять контроллер домена под свою власть.

Единственное ограничение на применение атаки - злоумышленник должен совершать ее изнутри сети, предварительно

Show thread

[Продолжение t.me/tech_b0lt_Genona/2078]

скомпрометировав одну из машин. Но это задача во многих случаях решаемая.

Выпущенный Microsoft в августе патч устанавливает заплатку на уязвимость Zerologon, делая обязательным включение механизма NRPC транспортного шифрования, который хакер мог обойти, просто отключив его со стороны клиента (такое допускалось).

Инфосек эксперты признают Zerologon весьма простой к использованию и очень опасной уязвимостью - "This is really scary". Чтобы не

Show thread

[Продолжение t.me/tech_b0lt_Genona/2078]

было "scary" надо просто своевременно апдейтить свои Windows Server.

Show thread

@tech_b0lt_Genona @abslimit Что думаешь на счет Pleroma? Там вроде как можно больше символов писать и не придется разбивать на 10 сообщений?

@zhoreeq @tech_b0lt_Genona
Уже подумал, но как-то не хочется поднимать еще один вариант сервера для ActivityPub из-за ботов

Sign in to participate in the conversation
mstdn.netwhood.online

Network neighborhood / Сетевое соседство это открытое сообщество людей, увлекающихся средствами коммуникаций, сетями связи, информационными системами, программированием, и в целом всем, что так или иначе связано с информацией, её движением и влиянием на нашу жизнь.