Webci
katmod
Güvenlik firması Secura, Microsoft’un Netlogon kimlik doğrulama sürecindeki bir yetki yükseltme güvenlik açığı olan CVE-2020-1472 hakkında teknik bir makale yayınladı ve zafiyet “Zerologon” olarak isimlendirildi. Windows sunucuları etkileyen zafiyet, Microsoft Domain Controller’lar (Etki Alanı Denetleyicisi) üzerinde yetkisiz kod çalıştırmaya olanak tanıyor. Microsoft tarafından Ağustos 2020 Yaması Salı sürümünde kısmen yamalanan zafiyet, Netlogon protokolünün kimlik doğrulama sürecinde kullanılan zayıf bir kriptografik algoritmadan yararlanıyor.
Zafiyet;
Saldırı, hızlı gerçekleşmekte olup en fazla üç saniyeye kadar sürmektedir. Ek olarak, saldırganlar Zerologon saldırısını birçok farklı senaryo ile gerçekleştirebilir. Örneğin, saldırgan etki alanı denetleyicisini kendisi gibi göstererek parolasını değiştirebilir ve tüm kurumsal ağı ele geçirebilir. Saldırı, tehdit aktörleri tarafından hedef ağda zararlı yazılım dağıtarak sistem üzerinde kalıcılık sağlamak için kullanılabilir. Ya da bir fidye yazılımı dağıtılarak siber fidyecilik yapılabilir. Bir Zerologon saldırısının nasıl gerçekleştirileceğine ilişkin tek sınırlama, saldırganın hedef ağa erişiminin olması gerektiğidir.
ZeroLogon Proof of Concept + Exploit
Secura araştırmacıları, Zerologon zafiyetini test etmek için Impacket kütüphanesini kullanan bir Python kodu yayınladı. Script, Netlogon kimlik doğrulama atlama işlemini gerçekleştirmeye çalışır ve başarılı bir şekilde atlatma işlemini gerçekleştirdiğinde sona erecek ve herhangi bir Netlogon işlemi gerçekleştirmeyecektir. Bir etki alanı denetleyicisine yama uygulandığında, algılama betiği 2000 çift RPC çağrısı gönderdikten sonra pes edecek ve hedefin savunmasız olmadığı sonucuna varacaktır.
Siber güvenlik camiasında büyük ilgi gören zafiyete ait birkaç tane PoC(+exploit) Github üzerinden yayınlandı.
Not: Sızma testi uzmanlarının, bu zafiyetin exploit’ini müşteri ortamında canlı sistem üzerinde denerken oldukça dikkatli olması gereklidir. Çünkü saldırının varsayılan olarak Domain Controller hesabının parolasını değiştirdiğini unutmayın. Evet bu, DCSync’e izin verir, ancak aynı zamanda diğer Domain Controller’lar ile iletişimi de keser, bu yüzden buna dikkat etmek gerekir.
Saldırının büyük bir etkisi bulunmaktadır. Zafiyet temelde, yerel ağdaki herhangi bir saldırganın Windows Domain Controller’ı tamamen tehlikeye atmasına izin veriyor. Microsoft tarafında, zafiyeti yamalamak pek kolay görünmüyor. Microsoft geçen ay (Ağustos ayında) bir güncelleme yayınladı. Bu yayınlanan güncelleme zafiyetin etkisini bir ölçüde zayıflattı ancak bundan sonraki yayınlanacak güncellemeler, sunucular ve istemciler arasında kimlik doğrulama problemlerine yol açabileceği düşünülmektedir.
Etkilenen Ürünler
Zerologon’a yama uygulamak Microsoft için çok da kolay bir iş değil. Çünkü şirket milyarlarca cihazın kurumsal ağlara bağlanma şeklini değiştirmek ve sayısız şirketin operasyonlarını etkili bir şekilde kesintiye uğratmak zorunda.
Zafiyetin yamalanma işlemi iki aşamada gerçekleşecek şekilde planlanmıştır. İlki, Microsoft’un Zerologon saldırısı için geçici bir düzeltme yayınlayarak geçen ay gerçekleşti. Bu geçici yama, Netlogon güvenlik özelliklerini (Zerologon devre dışı bırakıyordu) tüm Netlogon kimlik doğrulamaları için zorunlu hale getirerek Zerologon saldırılarını etkili bir şekilde kırdı.
Bununla birlikte, saldırganların Ağustos yamasını atlatabilecek bir yol bulması ihtimaline karşı, Şubat 2021 için daha eksiksiz bir yama planlanıyor. Ne yazık ki Microsoft, bu yamanın bazı cihazlarda kimlik doğrulamasını bozacağını tahmin ediyor.
Zafiyet;
- saldırganların Netlogon kimlik doğrulama prosedürlerini manipüle etmesine,
- ağdaki herhangi bir bilgisayarın kimliğini taklit ederek, etki alanı sunucusunu manipüle etmesine,
- Netlogon kimlik doğrulama sürecindeki güvenlik özelliklerini devre dışı bırakmasına,
- Domain controller’ın Active Directory üzerindeki bir bilgisayarın parolasını değiştirmesine olanak tanıyor.
Saldırı, hızlı gerçekleşmekte olup en fazla üç saniyeye kadar sürmektedir. Ek olarak, saldırganlar Zerologon saldırısını birçok farklı senaryo ile gerçekleştirebilir. Örneğin, saldırgan etki alanı denetleyicisini kendisi gibi göstererek parolasını değiştirebilir ve tüm kurumsal ağı ele geçirebilir. Saldırı, tehdit aktörleri tarafından hedef ağda zararlı yazılım dağıtarak sistem üzerinde kalıcılık sağlamak için kullanılabilir. Ya da bir fidye yazılımı dağıtılarak siber fidyecilik yapılabilir. Bir Zerologon saldırısının nasıl gerçekleştirileceğine ilişkin tek sınırlama, saldırganın hedef ağa erişiminin olması gerektiğidir.
ZeroLogon Proof of Concept + Exploit
Secura araştırmacıları, Zerologon zafiyetini test etmek için Impacket kütüphanesini kullanan bir Python kodu yayınladı. Script, Netlogon kimlik doğrulama atlama işlemini gerçekleştirmeye çalışır ve başarılı bir şekilde atlatma işlemini gerçekleştirdiğinde sona erecek ve herhangi bir Netlogon işlemi gerçekleştirmeyecektir. Bir etki alanı denetleyicisine yama uygulandığında, algılama betiği 2000 çift RPC çağrısı gönderdikten sonra pes edecek ve hedefin savunmasız olmadığı sonucuna varacaktır.
Siber güvenlik camiasında büyük ilgi gören zafiyete ait birkaç tane PoC(+exploit) Github üzerinden yayınlandı.
- github.com/dirkjanm/CVE-2020-1472
- github.com/bb00/zer0dump
- github.com/risksense/zerologon
- https://github.com/blackarrowsec/redteam-research
Not: Sızma testi uzmanlarının, bu zafiyetin exploit’ini müşteri ortamında canlı sistem üzerinde denerken oldukça dikkatli olması gereklidir. Çünkü saldırının varsayılan olarak Domain Controller hesabının parolasını değiştirdiğini unutmayın. Evet bu, DCSync’e izin verir, ancak aynı zamanda diğer Domain Controller’lar ile iletişimi de keser, bu yüzden buna dikkat etmek gerekir.
Saldırının büyük bir etkisi bulunmaktadır. Zafiyet temelde, yerel ağdaki herhangi bir saldırganın Windows Domain Controller’ı tamamen tehlikeye atmasına izin veriyor. Microsoft tarafında, zafiyeti yamalamak pek kolay görünmüyor. Microsoft geçen ay (Ağustos ayında) bir güncelleme yayınladı. Bu yayınlanan güncelleme zafiyetin etkisini bir ölçüde zayıflattı ancak bundan sonraki yayınlanacak güncellemeler, sunucular ve istemciler arasında kimlik doğrulama problemlerine yol açabileceği düşünülmektedir.
Etkilenen Ürünler
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
Zerologon’a yama uygulamak Microsoft için çok da kolay bir iş değil. Çünkü şirket milyarlarca cihazın kurumsal ağlara bağlanma şeklini değiştirmek ve sayısız şirketin operasyonlarını etkili bir şekilde kesintiye uğratmak zorunda.
Zafiyetin yamalanma işlemi iki aşamada gerçekleşecek şekilde planlanmıştır. İlki, Microsoft’un Zerologon saldırısı için geçici bir düzeltme yayınlayarak geçen ay gerçekleşti. Bu geçici yama, Netlogon güvenlik özelliklerini (Zerologon devre dışı bırakıyordu) tüm Netlogon kimlik doğrulamaları için zorunlu hale getirerek Zerologon saldırılarını etkili bir şekilde kırdı.
Bununla birlikte, saldırganların Ağustos yamasını atlatabilecek bir yol bulması ihtimaline karşı, Şubat 2021 için daha eksiksiz bir yama planlanıyor. Ne yazık ki Microsoft, bu yamanın bazı cihazlarda kimlik doğrulamasını bozacağını tahmin ediyor.