ZeroLogon – การแพตช์ไม่เพียงพอ

แนวทางและเครื่องมือในการปกป้องสิ่งแวดล้อมของคุณ
ตั้งแต่ CVE-2020-1472

By Yaron Kassner, CTO และผู้ร่วมก่อตั้ง Silverfort

Secura เพิ่งเผยแพร่ไฟล์ whitepaper เกี่ยวกับช่องโหว่ที่เลวร้ายที่สุดจุดหนึ่งที่ฉันเคยเห็นมาระยะหนึ่งแล้ว เรียกว่า ZeroLogon หรือที่รู้จักในชื่อ CVE-2020-1472 DHS ยังเผยแพร่ไฟล์ คำสั่งฉุกเฉิน เพื่อแก้ไขเซิร์ฟเวอร์ Windows ที่ได้รับผลกระทบ และไม่ได้พูดเกินจริง ช่องโหว่นี้ทำให้ผู้โจมตีสร้างบัญชีผู้ดูแลระบบโดเมนได้ เพียงแค่ส่งแพ็กเก็ตที่ไม่ได้รับการรับรองความถูกต้องไปยังตัวควบคุมโดเมน นี่หมายความว่า ทุกคนในเครือข่ายสามารถครอบครองโดเมนทั้งหมดได้

สำหรับผู้ที่สนใจบิตและไบต์ทางเทคนิค ฉันขอแนะนำให้อ่านเอกสารไวท์เปเปอร์ การโจมตีที่อธิบายไว้นั้นสวยงามและใช้ประโยชน์จากช่องโหว่ที่มีอยู่ในโปรโตคอล NRPC ปรากฎว่ามีบางคนสนใจการโจมตีนี้มากจนพวกเขาพัฒนาก ใช้ประโยชน์จากการทำงานเต็มรูปแบบ และเผยแพร่บน GitHub ดังนั้น หากคุณยังไม่ได้ปรับใช้การอัปเดต ให้หยุดอ่านบทความนี้และดำเนินการทันที กลับมาหลังจากที่คุณทำ

เช่นเดียวกับช่องโหว่ส่วนใหญ่ Microsoft ได้เผยแพร่ไฟล์ ที่ปรึกษาพร้อมด้วยการอัปเดตความปลอดภัย แม้ว่าบางคนอาจถูกล่อลวงให้ติดตั้งการอัปเดตและลืมมันไป แต่ผู้อ่านที่ระมัดระวังจะสังเกตเห็นความคิดเห็นนี้: “Microsoft กำลังจัดการกับช่องโหว่นี้ในการเปิดตัวแบบค่อยเป็นค่อยไป”

ใช่แล้ว มันไม่ใช่เรื่องดีเลย การเปิดตัวแบบเป็นช่วงหมายความว่าในช่วงแรกของการเปิดตัวระบบของคุณยังคงมีความเสี่ยงอยู่ ในกรณีนี้ ต้องใช้แนวทางแบบเป็นขั้นตอน เนื่องจากช่องโหว่มีอยู่ในโปรโตคอล NRPC แพตช์ป้องกันการโจมตีด้วยการบังคับใช้ชั้นความปลอดภัยเพิ่มเติมที่ด้านบนของโปรโตคอล นั่นคือ Secure RPC น่าเสียดายที่การอัปเดตฝั่งเซิร์ฟเวอร์ เช่น DC นั้นไม่เพียงพอ เนื่องจากไคลเอนต์ยังต้องได้รับการอัปเดตเพื่อให้โปรโตคอลทำงานได้ Microsoft ดูแลอุปกรณ์ Windows แต่ไม่มีโซลูชันสำหรับระบบปฏิบัติการรุ่นเก่าที่ไม่ได้รับการสนับสนุนอีกต่อไปหรือผลิตภัณฑ์ของบุคคลที่สาม ซึ่งหมายความว่าการบังคับใช้ Secure RPC จะทำให้ระบบที่เข้ากันไม่ได้เหล่านี้เสียหาย

ในช่วงแรก AD จะบังคับใช้ RPC ที่ปลอดภัยสำหรับอุปกรณ์ Windows ซึ่งหมายความว่าสามารถป้องกันการโจมตีในรูปแบบที่เลวร้ายที่สุดได้ แต่ลูกค้ารายอื่นอาจยังมีความเสี่ยงอยู่

เราพัฒนา a เครื่องมือง่ายๆ ที่วนซ้ำตัวควบคุมโดเมนในโดเมนของคุณและตรวจสอบว่าตัวควบคุมทั้งหมดได้รับการแก้ไขหรือไม่ เครื่องมือนี้อิงตามเครื่องมือทดสอบดั้งเดิมที่เผยแพร่โดย Secura แต่แทนที่จะทำงานบน DC ทีละตัว เครื่องมือจะค้นหา DC และรันบน DC ทั้งหมดโดยอัตโนมัติ เราขอแนะนำให้คุณเรียกใช้เครื่องมือนี้เพื่อให้แน่ใจว่าไม่มี DC ใดในสภาพแวดล้อมของคุณพลาดไป - DC ที่ไม่ได้รับการแก้ไขเพียงตัวเดียวก็เพียงพอที่จะประนีประนอมทั้งโดเมน

ดาวน์โหลดเครื่องมือทดสอบ Github ที่นี่

ก้าวสู่เฟสสอง

ในระยะที่สอง AD จะบังคับใช้ RPC ที่ปลอดภัยสำหรับคอมพิวเตอร์ทุกเครื่อง รวมถึงอุปกรณ์ที่ไม่ใช่ Windows ระยะที่สองจะดำเนินการโดยอัตโนมัติในวันที่ 2 กุมภาพันธ์ แต่คุณสามารถเริ่มได้เร็วกว่านี้ และเราขอแนะนำให้คุณดำเนินการ เมื่อต้องการทำเช่นนั้น คุณควรตรวจสอบให้แน่ใจว่าคุณไม่มีไคลเอ็นต์ใดๆ ในเครือข่ายที่ใช้ RPC ที่ไม่ปลอดภัย Microsoft จัดทำบันทึกการตรวจสอบเพื่อค้นหาไคลเอนต์ดังกล่าวและ Silverfort สามารถช่วยได้เช่นกัน: คุณสามารถใช้ประโยชน์ได้ Silverfort เพื่อจัดทำรายงานที่แสดงรายการไคลเอนต์ที่ใช้ RPC ที่ไม่ปลอดภัย ถ้าคุณไม่มี Silverfortคุณสามารถเริ่มต้นด้วยการตรวจสอบบันทึกเหตุการณ์ของ Microsoft

จะทำอย่างไรกับไคลเอนต์ RPC ที่ไม่ปลอดภัย?

นี่คือคำแนะนำของฉัน ก่อนอื่นให้ใส่ไว้ใน “ตัวควบคุมโดเมน: อนุญาตนโยบายกลุ่มการเชื่อมต่อช่องทางที่ปลอดภัยของ Netlogon”. การดำเนินการนี้ไม่ได้รักษาความปลอดภัยไคลเอ็นต์เหล่านี้ แต่จะช่วยให้คุณย้ายอุปกรณ์ที่เหลือเข้าสู่โหมดบังคับใช้ได้ทันที แทนที่จะรอถึงเดือนกุมภาพันธ์ 2021

หลังจากที่คุณย้ายอุปกรณ์ที่เหลือเข้าสู่โหมดบังคับใช้แล้ว คุณควรดูแลไคลเอ็นต์ RPC ที่ไม่ปลอดภัย อย่าปล่อยไว้เหมือนเดิม! พวกเขามีความเสี่ยง!

หากอุปกรณ์เหล่านี้เป็นอุปกรณ์ของบริษัทอื่น คุณควรติดต่อผู้จำหน่ายและขอวิธีแก้ปัญหาเพื่อให้ทำงานร่วมกับ Secure RPC ได้
หากคุณไม่สามารถทำให้ไคลเอนต์ทำงานกับ Secure RPC ได้ด้วยเหตุผลบางประการ Silverfort สามารถช่วยปกป้องได้ – ดูเพิ่มเติมด้านล่าง

ทำอย่างไร Silverfort ช่วยเหลือจนกว่าจะครอบคลุมไคลเอนต์ RPC ที่ไม่ปลอดภัยทั้งหมดหรือไม่

Silverfort ตรวจสอบและควบคุมการรับส่งข้อมูล Netlogon ในเครือข่าย สิ่งนี้ช่วยให้ Silverfort เพื่อตรวจจับคอมพิวเตอร์ทุกเครื่องที่ใช้ RPC ที่ไม่ปลอดภัย สำหรับอุปกรณ์เหล่านี้ Silverfort สามารถเพิ่มความเสี่ยง และมอบการรักษาความปลอดภัยเพิ่มเติมอีกชั้น เช่น การก้าวขึ้นไป การรับรอง ข้อกำหนดไปยังหรือจากอุปกรณ์เหล่านี้

สรุปขั้นตอนที่แนะนำ:

1. อัปเดตตัวควบคุมโดเมนของคุณ
2 ใช้ Silverfortเครื่องมือโอเพ่นซอร์สของ เพื่อดูว่ามี DC ใดที่ยังไม่ได้แพตช์หรือไม่
3 ใช้ Silverfort หรือ Microsoft สำหรับการตรวจสอบไคลเอ็นต์โดยใช้ RPC ที่ไม่ปลอดภัย
4. ใส่ไคลเอ็นต์ RPC ที่ไม่ปลอดภัยลงในรายการที่อนุญาต
5. ย้ายโดเมนเข้าสู่โหมดบังคับใช้โดยเร็วที่สุด
6. เริ่มกระบวนการเพื่อแก้ไขไคลเอนต์ RPC ที่ไม่ปลอดภัยหรือลบออกจากเครือข่ายของคุณ
7.ในระหว่างนี้ให้ใช้ Silverfort เพื่อปกป้องไคลเอนต์ที่มีช่องโหว่จากการแสวงหาผลประโยชน์และจำกัดการใช้งานของพวกเขา

Yaron Kassner, CTO และผู้ร่วมก่อตั้ง Silverfort

SilverfortCTO และผู้ร่วมก่อตั้งของ Yaron Kassner เป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และเทคโนโลยีข้อมูลขนาดใหญ่ ก่อนร่วมก่อตั้ง SilverfortYaron ทำหน้าที่เป็นที่ปรึกษาผู้เชี่ยวชาญด้านข้อมูลขนาดใหญ่สำหรับ Cisco เขายังได้พัฒนาความสามารถใหม่เกี่ยวกับการวิเคราะห์ข้อมูลขนาดใหญ่และอัลกอริทึมการเรียนรู้ของเครื่องที่ Microsoft ก่อนหน้านั้น Yaron ทำหน้าที่ในหน่วยไซเบอร์ชั้นยอด 8200 ของกองกำลังป้องกันประเทศอิสราเอล ซึ่งเขาเป็นผู้นำทีมวิจัยและพัฒนาที่มีชื่อเสียง เลื่อนยศเป็นร้อยเอก และได้รับรางวัลความเป็นเลิศอันทรงเกียรติ Yaron สำเร็จการศึกษาระดับปริญญาตรี สาขาคณิตศาสตร์ Summa Cum Laude, วท.ม. และปริญญาเอก สาขาวิทยาการคอมพิวเตอร์จาก Technion – Israel Institute of Technology