Kritiek Windows-lek maakt iedereen admin, patch onmiddelijk

Onderzoekers bij Secura hebben een proof-of-concept (POC) gemaakt van een recent gepatcht Windows-lek waarmee je rechtstreeks toegang krijgt tot de Active Directory domeincontroller. Hiermee kan je iedereen admin maken en het hele netwerk controleren buiten de macht van de IT-dienst.

Het kritieke lek krijgt nummer CVE-2020-1472 en draagt de maximumscore van 10 wat betreft gevaar. Microsoft heeft het kritieke lek ondertussen gedicht en vorige maand een update beschikbaar gesteld. Secura heeft een aantal weken gewacht om bedrijven de kans te geven om te patchen, om nu de POC publiek te maken via een whitepaper. Het lek krijgt de toepasselijke naam Zerologon.

De aanval heeft een enorme impact op elke bedrijfsomgeving die de patch nog niet heeft geïnstalleerd. Het enige wat de hacker nodig heeft, is toegang tot het lokale netwerk om het volledige Windows-domein te kapen. Dat kan via een phishingmail, maar ook een beschikbare netwerkaansluiting op het bedrijfsterrein is genoeg om alles bloot te leggen.

Totale controle

De reden waarom Secura nu met de POC naar buiten komt, heeft te maken met de patch. Volgens de securityonderzoekers is het niet heel moeilijk om de patch te gebruiken om een exploit te ontwikkelen. Volgens ArsTechnica hebben diverse onderzoeksbureaus ondertussen een POC aanvalscode klaar via GitHub (hier, hier en hier).

Zerologon misbruikt een fout in de Windows-implementatie van AES-CFB8, een cryptografisch protocol om authenticatieberichten te encrypteren en valideren. AES-CFB8 gebruikt initialisatievectoren die uniek en random zijn voor elk bericht. Een bug in een oude Windows-update schrapte die vectoren, waardoor het Netlogon-protocol door middel van een heleboel nullen in bepaalde velden toegang krijgt tot de Active Directory domeincontroller.

Hiermee kunnen hackers de totale controle over elk Windows-toestel op het bedrijfsnetwerk verkrijgen.

Hiermee kunnen hackers de totale controle over elk Windows-toestel op het bedrijfsnetwerk verkrijgen en administratierechten toekennen op eender welk toestel. Dat is gevaarlijk voor hackers die je bedrijfsnetwerk proberen te infiltreren, maar ook voor werknemers die adminrechten willen verkrijgen met malafide bedoelingen. Hackers die al binnen zijn maar nog wachten op een exploit om verder te kunnen inbreken, krijgen via Netlogon de sleutels tot het bedrijf.

Administratoren staan meestal weigerachtig om direct alles te updates wat betreft kritieke infrastructuur. Active Directory valt daar zeker onder, maar in dit geval lijkt het ons belangrijk zo snel mogelijk te patchen om grote problemen te voorkomen.

Tip: Microsoft dringt aan op patchen van ernstige Windows-serverbug