ZeroLogon – Yama Yapmak Yeterli Değil

Çevrenizi Koruma Yönergeleri ve Araçları
CVE-2020-1472'den

By Yaron Kassner, CTO ve Kurucu Ortak, Silverfort

Secura geçtiğimiz günlerde bir Whitepaper bir süredir gördüğüm en kötü güvenlik açıklarından biri hakkında. Buna ZeroLogon, diğer adıyla CVE-2020-1472 denir. DHS ayrıca bir acil durum direktifi etkilenen Windows Sunucularına yama uygulamak için. Ve abartmıyorlar - güvenlik açığı, bir saldırganın yalnızca bir etki alanı denetleyicisine kimliği doğrulanmamış paketler göndererek bir etki alanı yönetici hesabı oluşturmasına olanak tanır. Bu şu demek ağdaki herkes tüm etki alanını devralabilir.

Teknik bitler ve baytlarla ilgilenenler için teknik incelemeyi okumanızı şiddetle tavsiye ederim. Açıklanan saldırı zariftir ve NRPC protokolündeki doğal bir güvenlik açığından yararlanır. Bazı insanların bu saldırıyla o kadar ilgilendikleri ortaya çıktı ki, bir saldırı geliştirdiler. tam çalışma istismarı ve GitHub'da yayınladı. Bu nedenle, güncellemeyi henüz dağıtmadıysanız, bu makaleyi okumayı bırakın ve şimdi yapın. Yaptıktan sonra geri gel.

Çoğu güvenlik açığında olduğu gibi, Microsoft bir danışma, bir güvenlik güncellemesi ile birlikte. Bazıları güncellemeyi yükleyip unutmak istese de, dikkatli okuyucu şu yorumu fark edecektir: "Microsoft, bu güvenlik açığını aşamalı bir sunumla ele alıyor."

Yap - bu iyi bir şey değil. Aşamalı kullanıma sunma, kullanıma sunmanın ilk aşamasında sisteminizin hala savunmasız olduğu anlamına gelir. Güvenlik açığı NRPC protokolünün doğasında olduğu için bu durumda aşamalı bir yaklaşım benimsenmesi gerekiyordu. Yama, protokolün üzerinde ek bir güvenlik katmanı - yani Güvenli RPC - uygulayarak saldırıyı önler. Ne yazık ki sunucu tarafını, yani DC'yi güncellemek yeterli değil çünkü protokolün çalışması için istemcilerin de güncellenmesi gerekiyor. Microsoft, Windows cihazlarıyla ilgilendi, ancak artık desteklenmeyen eski işletim sistemleri veya üçüncü taraf ürünleri için bir çözüm sağlamadı. Bu, Güvenli RPC'nin uygulanmasının bu uyumsuz sistemleri bozacağı anlamına gelir.

İlk aşamada AD, Windows aygıtları için güvenli RPC'yi zorunlu kılar, bu da saldırının en kötü biçiminin önlenebileceği anlamına gelir. Ancak diğer müşteriler hala savunmasız olabilir.

Geliştirdik basit araç etki alanınızdaki etki alanı denetleyicileri üzerinde yinelenir ve tümüne yama yapılıp yapılmadığını kontrol eder. Araç, Secura tarafından yayınlanan orijinal test aracını temel alır, ancak her seferinde bir DC üzerinde çalışmak yerine, otomatik olarak DC'leri bulur ve hepsinde çalışır. Ortamınızdaki hiçbir DC'nin kaçırılmadığından emin olmak için bu aracı çalıştırmanızı öneririz; yama uygulanmamış bir DC, tüm etki alanını tehlikeye atmak için yeterlidir.

Github Test Aracını Buradan İndirin

İkinci Aşamaya Geçiş

İkinci aşamada AD, Windows olmayan cihazlar da dahil olmak üzere tüm bilgisayarlar için güvenli RPC'yi zorlar. İkinci aşama 2 Şubat'ta otomatik olarak yapılacak, ancak daha erken başlayabilirsiniz ve başlamanızı öneririz. Bunu yapmak için, öncelikle ağda güvenli olmayan RPC'ye güvenen herhangi bir istemciniz olmadığından emin olmalısınız. Microsoft, bu tür istemcileri keşfetmek için denetim günlükleri sağlar ve Silverfort yardımcı da olabilir: Silverfort güvenli olmayan RPC kullanan istemcileri listeleyen bir rapor hazırlamak. eğer sahip değilsen Silverfort, Microsoft'un olay günlüklerini denetleyerek başlayabilirsiniz.

Güvenli olmayan RPC istemcileriyle ne yapılmalı?

İşte benim tavsiyem. Her şeyden önce, onları “Etki alanı denetleyicisi: Güvenlik açığı bulunan Netlogon güvenli kanal bağlantılarına izin ver” grup ilkesi. Bu, bu istemcilerin güvenliğini sağlamaz ancak geri kalan cihazları Şubat 2021'i beklemek yerine şimdi zorlama moduna geçirmenize olanak tanır.

Geri kalan cihazları zorlama moduna geçirdikten sonra, güvenli olmayan RPC istemcileriyle ilgilenmeniz gerekir. Onları olduğu gibi bırakmayın! Savunmasızlar!

Bu cihazlar 3. parti cihazlar ise, satıcı firma ile iletişime geçerek Secure RPC ile çalışması için çözüm talep etmelisiniz.
Herhangi bir nedenle istemciyi Güvenli RPC ile çalıştıramazsanız, Silverfort korumaya yardımcı olabilir - aşağıda daha fazlasını görün.

Nasıl Can Silverfort Tüm güvenli olmayan RPC istemcileri kapsanana kadar yardım?

Silverfort ağdaki Netlogon trafiğini izler ve kontrol eder. Bu izin verir Silverfort güvenli olmayan RPC kullanan tüm bilgisayarları algılamak için. Bu cihazlar için, Silverfort riski artırabilir ve güvenlik önlemlerini artırmak gibi ek güvenlik katmanları sağlayabilir. kimlik doğrulama bu cihazlara veya bu cihazlardan gelen gereksinimler.

Önerilen Adımları Özetlemek:

1. Etki alanı denetleyicilerinizi güncelleyin
2. Kullanmak Silverfort'nin açık kaynak aracı yama yapılmamış herhangi bir DC olup olmadığını görmek için
3. Kullanmak Silverfort veya güvenli olmayan RPC kullanan istemcileri denetlemek için Microsoft
4. Güvenli olmayan RPC istemcilerini izin verilenler listesine ekleyin
5. Alanı mümkün olan en kısa sürede yaptırım moduna geçirin
6. Güvenli olmayan RPC istemcilerini düzeltmek veya bunları ağınızdan kaldırmak için bir işlem başlatın
7. Bu arada, Silverfort savunmasız istemcileri sömürüden korumak ve kullanımlarını kısıtlamak için.

Yaron Kassner, CTO ve Kurucu Ortak, Silverfort

SilverfortCTO'su ve Kurucu Ortağı Yaron Kassner siber güvenlik ve büyük veri teknolojisi uzmanıdır. Kurucu ortak olmadan önce Silverfort, Yaron, Cisco için büyük veri uzmanı danışmanı olarak görev yaptı. Ayrıca Microsoft'ta büyük veri analitiği ve makine öğrenimi algoritmalarını içeren yeni yetenekler geliştirdi. Bundan önce Yaron, İsrail Savunma Kuvvetleri'nin 8200 elit siber birliğinde saygın bir Ar-Ge ekibine liderlik etti, Yüzbaşı rütbesine yükseltildi ve prestijli bir mükemmellik ödülü aldı. Yaron lisans derecesine sahiptir. Matematik, Summa Cum Laude, M.Sc. ve Doktora Technion'dan Bilgisayar Bilimi Doktorası - İsrail Teknoloji Enstitüsü.