ZeroLogon – 패칭만으로는 충분하지 않음

환경 보호를 위한 지침 및 도구
CVE-2020-1472에서

By Yaron Kassner, CTO 및 공동 설립자, Silverfort

Secura는 최근 백서 최근에 본 최악의 취약점 중 하나입니다. CVE-2020-1472라고도 알려진 ZeroLogon이라고 합니다. DHS는 또한 긴급 지시 영향을 받는 Windows 서버를 패치합니다. 과장이 아닙니다. 이 취약점을 통해 공격자는 도메인 컨트롤러에 인증되지 않은 패킷을 보내는 것만으로 도메인 관리자 계정을 만들 수 있습니다. 이것은 네트워크의 모든 사용자가 전체 도메인을 인수할 수 있습니다.

기술 비트와 바이트에 관심이 있는 분들은 백서를 읽어 보시기를 적극 권장합니다. 설명된 공격은 우아하며 NRPC 프로토콜에 내재된 취약성을 이용합니다. 일부 사람들은 이 공격에 관심이 많았고, 전체 작동 익스플로잇 GitHub에 게시했습니다. 따라서 아직 업데이트를 배포하지 않았다면 이 문서 읽기를 중지하고 지금 수행하십시오. 하신 후에 다시 오세요.

대부분의 취약점과 마찬가지로 Microsoft는 자문, 보안 업데이트와 함께. 일부는 업데이트를 설치하고 잊어버리고 싶은 유혹을 느낄 수 있지만, 신중한 독자는 다음 설명을 알아차릴 것입니다. "Microsoft는 단계적 롤아웃에서 이 취약점을 해결하고 있습니다."

얍 - 좋은 일이 아니야. 단계적 롤아웃은 롤아웃의 첫 번째 단계에서 시스템이 여전히 취약함을 의미합니다. 취약점이 NRPC 프로토콜에 내재되어 있기 때문에 이 경우 단계적 접근 방식을 취해야 했습니다. 패치는 프로토콜 위에 보안 RPC라는 추가 보안 계층을 적용하여 공격을 방지합니다. 안타깝게도 서버 측, 즉 DC를 업데이트하는 것만으로는 충분하지 않습니다. 프로토콜이 작동하려면 클라이언트도 업데이트해야 하기 때문입니다. Microsoft는 Windows 장치를 관리했지만 더 이상 지원되지 않는 레거시 운영 체제나 타사 제품에 대한 솔루션을 제공하지 않았습니다. 즉, 보안 RPC를 시행하면 이러한 호환되지 않는 시스템이 손상됩니다.

첫 번째 단계에서 AD는 Windows 장치에 보안 RPC를 적용하므로 최악의 형태의 공격을 방지할 수 있습니다. 그러나 다른 클라이언트는 여전히 취약할 수 있습니다.

우리는 간단한 도구 도메인의 도메인 컨트롤러를 반복하고 모두 패치되었는지 확인합니다. 이 도구는 Secura에서 게시한 원본 테스트 도구를 기반으로 하지만 한 번에 하나의 DC에서 실행되는 대신 자동으로 DC를 찾아 모든 DC에서 실행됩니다. 이 도구를 실행하여 환경에서 누락된 DC가 없는지 확인하는 것이 좋습니다. 패치되지 않은 DC ​​하나면 전체 도메인을 손상시키기에 충분합니다.

여기에서 Github 테스트 도구 다운로드

XNUMX단계로 이동

두 번째 단계에서 AD는 Windows가 아닌 장치를 포함하여 모든 컴퓨터에 보안 RPC를 적용합니다. 2단계는 XNUMX월 XNUMX일에 자동으로 진행되지만, 더 일찍 시작할 수도 있고, 그렇게 하는 것을 권장합니다. 이렇게 하려면 먼저 네트워크에 비보안 RPC에 의존하는 클라이언트가 없는지 확인해야 합니다. Microsoft는 이러한 클라이언트를 검색하기 위해 감사 로그를 제공하고 Silverfort 또한 도움이 될 수 있습니다. Silverfort 비보안 RPC를 사용하는 클라이언트를 나열하는 보고서를 준비합니다. 없는 경우 Silverfort, Microsoft의 이벤트 로그를 감사하여 시작할 수 있습니다.

비보안 RPC 클라이언트로 무엇을 해야 합니까?

여기 내 추천입니다. 우선 "에 넣습니다.도메인 컨트롤러: 취약한 Netlogon 보안 채널 연결 허용” 그룹 정책. 이렇게 하면 이러한 클라이언트가 보호되지 않지만 2021년 XNUMX월을 기다리지 않고 지금 나머지 장치를 시행 모드로 이동할 수 있습니다.

나머지 장치를 시행 모드로 이동한 후에는 비보안 RPC 클라이언트를 관리해야 합니다. 그대로 두지 마십시오! 그들은 취약합니다!

이러한 장치가 타사 장치인 경우 공급업체에 연락하여 보안 RPC와 함께 작동하도록 하는 솔루션을 요청해야 합니다.
어떤 이유로 클라이언트가 보안 RPC와 함께 작동하도록 할 수 없는 경우, Silverfort 보호하는 데 도움이 될 수 있습니다. 자세한 내용은 아래를 참조하십시오.

어떻게 Silverfort 모든 비보안 RPC 클라이언트가 처리될 때까지 도와주시겠습니까?

Silverfort 네트워크에서 Netlogon 트래픽을 모니터링하고 제어합니다. 이를 통해 Silverfort 비보안 RPC를 사용하는 모든 컴퓨터를 탐지합니다. 이러한 장치의 경우 Silverfort 위험을 증가시키고 보안 강화와 같은 추가 보안 계층을 제공할 수 있습니다. 인증 이러한 장치에 대한 요구 사항.

따라서 권장 단계를 요약하면 다음과 같습니다.

1. 도메인 컨트롤러 업데이트
2. 사용 Silverfort의 오픈 소스 도구 패치되지 않은 DC가 있는지 확인하기 위해
3. 사용 Silverfort 또는 비보안 RPC를 사용하는 클라이언트에 대한 감사를 위한 Microsoft
4. 비보안 RPC 클라이언트를 허용 목록에 추가
5. 가능한 한 빨리 도메인을 시행 모드로 전환합니다.
6. 비보안 RPC 클라이언트를 수정하거나 네트워크에서 제거하는 프로세스를 시작합니다.
7. 그동안 사용 Silverfort 취약한 클라이언트를 착취로부터 보호하고 사용을 제한합니다.

Yaron Kassner, CTO 및 공동 설립자, Silverfort

Silverfort의 CTO 및 공동 창립자 Yaron Kassner 사이버 보안 및 빅 데이터 기술 전문가입니다. 공동 창업 전 Silverfort, Yaron은 Cisco의 빅 데이터 전문 컨설턴트로 재직했습니다. 또한 Microsoft에서 빅 데이터 분석 및 기계 학습 알고리즘과 관련된 새로운 기능을 개발했습니다. 그 전에 Yaron은 이스라엘 방위군의 8200 정예 사이버 부대에서 복무하면서 평판이 좋은 R&D 팀을 이끌고 대위로 진급했으며 영예로운 우수상을 받았습니다. Yaron은 B.Sc. 수학에서 Summa Cum Laude, M.Sc. 그리고 박사. Technion – Israel Institute of Technology에서 컴퓨터 과학 학사 학위를 취득했습니다.