להשתלט על רשת בשניות: מיקרוסופט מדווחת על חולשה קריטית בפרוטוקול Netlogon
כשל בפרוטוקול Netlogon מאפשר לתוקף להשתלט על רשת שלמה בשניות. הטלאים ששחררה החברה טרם הגיעו לרמת בשלות מספיקה
עמי רוחקס דומבה
| 15/09/2020
ללא ידיעת רבים, בחודש שעבר תיקנה מיקרוסופט את אחד הבאגים החמורים ביותר שדווחו אי פעם לחברה, נושא שעשוי להיות מנוצל לרעה כדי להשתלט בקלות על שרתי Windows הפועלים כבקרי תחום ברשתות ארגוניות. הבאג תוקן בתאריך יום שלישי באוגוסט 2020 תחת המזהה של CVE-2020-1472. זה תואר כהגדלת הרשאות ב- Netlogon, הפרוטוקול המאמת משתמשים כנגד בקרי תחום.
הפגיעות קיבלה את דירוג החומרה המרבי של 10, אך הפרטים מעולם לא פורסמו לציבור, כלומר משתמשים ומנהלי IT מעולם לא ידעו עד כמה הנושא באמת מסוכן. אך בלוג שפורסם על ידי צוות חברת Secura B.V, חברת אבטחה הולנדית, הרים סוף סוף את הרעלה מהבאג המסתורי הזה ופרסם דו"ח טכני המתאר לעומק את CVE-2020-1472.
"על ידי זיוף אסימון אימות לפונקציונליות ספציפית של Netlogon, הצליח החוקר להתקשר לפונקציה כדי להגדיר את סיסמת המחשב של בקר התחום לערך ידוע. לאחר מכן, התוקף יכול להשתמש בסיסמה חדשה זו כדי להשתלט על בקר התחום ולגנוב אישורים של מנהל תחום", כותבים בבלוג.
החולשה כה חמורה, שהCERT האמריקני הוציא אזהרה ייעודית על כך. "כדי לספק הגנה על יער AD, יש לעדכן את כל DCs מכיוון שהם יאכפו RPC מאובטח עם הערוץ המאובטח של Netlogon. זה כולל בקרי תחום לקריאה בלבד (RODC)", כותבים בהודעה של מיקרוסופט.
בבלוג ממשיכים. "הפגיעות נובעת מפגם בתכנית אימות הצפנה המשמשת את הפרוטוקול Netlogon, שבין היתר ניתן להשתמש בו לעדכון סיסמאות מחשב. פגם זה מאפשר לתוקפים להתחזות לכל מחשב, כולל בקר התחום עצמו, ולבצע קריאות הליך מרחוק מטעמם."
על פי יוסי סאסי, שותף מייסד בחברת הסייבר 10root מדובר בכשל חמור מאד. "כל מה שצריך זה חיבור TCP ל domain controller", מסביר סאסי. "אם זה לא מספיק - ה patch ששוחרר עושה בעיות, והוחלף ב patch חדש - שגם הוא עושה בעיות. מיקרוסופט צופה ש Patch סופי יקרה בפברואר 2021. עד אז, תוקפים יכולים לבנות מתקפות המסוגלות להשתלט על רשת שלמה בשניות."
כשל בפרוטוקול Netlogon מאפשר לתוקף להשתלט על רשת שלמה בשניות. הטלאים ששחררה החברה טרם הגיעו לרמת בשלות מספיקה
ללא ידיעת רבים, בחודש שעבר תיקנה מיקרוסופט את אחד הבאגים החמורים ביותר שדווחו אי פעם לחברה, נושא שעשוי להיות מנוצל לרעה כדי להשתלט בקלות על שרתי Windows הפועלים כבקרי תחום ברשתות ארגוניות. הבאג תוקן בתאריך יום שלישי באוגוסט 2020 תחת המזהה של CVE-2020-1472. זה תואר כהגדלת הרשאות ב- Netlogon, הפרוטוקול המאמת משתמשים כנגד בקרי תחום.
הפגיעות קיבלה את דירוג החומרה המרבי של 10, אך הפרטים מעולם לא פורסמו לציבור, כלומר משתמשים ומנהלי IT מעולם לא ידעו עד כמה הנושא באמת מסוכן. אך בלוג שפורסם על ידי צוות חברת Secura B.V, חברת אבטחה הולנדית, הרים סוף סוף את הרעלה מהבאג המסתורי הזה ופרסם דו"ח טכני המתאר לעומק את CVE-2020-1472.
"על ידי זיוף אסימון אימות לפונקציונליות ספציפית של Netlogon, הצליח החוקר להתקשר לפונקציה כדי להגדיר את סיסמת המחשב של בקר התחום לערך ידוע. לאחר מכן, התוקף יכול להשתמש בסיסמה חדשה זו כדי להשתלט על בקר התחום ולגנוב אישורים של מנהל תחום", כותבים בבלוג.
החולשה כה חמורה, שהCERT האמריקני הוציא אזהרה ייעודית על כך. "כדי לספק הגנה על יער AD, יש לעדכן את כל DCs מכיוון שהם יאכפו RPC מאובטח עם הערוץ המאובטח של Netlogon. זה כולל בקרי תחום לקריאה בלבד (RODC)", כותבים בהודעה של מיקרוסופט.
בבלוג ממשיכים. "הפגיעות נובעת מפגם בתכנית אימות הצפנה המשמשת את הפרוטוקול Netlogon, שבין היתר ניתן להשתמש בו לעדכון סיסמאות מחשב. פגם זה מאפשר לתוקפים להתחזות לכל מחשב, כולל בקר התחום עצמו, ולבצע קריאות הליך מרחוק מטעמם."
על פי יוסי סאסי, שותף מייסד בחברת הסייבר 10root מדובר בכשל חמור מאד. "כל מה שצריך זה חיבור TCP ל domain controller", מסביר סאסי. "אם זה לא מספיק - ה patch ששוחרר עושה בעיות, והוחלף ב patch חדש - שגם הוא עושה בעיות. מיקרוסופט צופה ש Patch סופי יקרה בפברואר 2021. עד אז, תוקפים יכולים לבנות מתקפות המסוגלות להשתלט על רשת שלמה בשניות."