Угнать учетку за 60 секунд
Если ты самоизолируешься в свое удовольствие на удаленке с корпоративной рабочей машинкой, то наверняка проходишь утренние обеденные предработные ритуалы логина в корпоративный домен. А значит, тебе будет интересен один из способов, как могут увести твою учетку во время этого нехитрого процесса.
Если ты сидишь за своим собственным армом, все равно прочитай пост, но можешь сделать это без уважения.
Начнём с того, что учётная запись, под которой ты заходишь на свой компьютер, может быть двух типов. Если это твое локальное устройство, то скорее всего, и учётка у тебя локальная — заведённая прямо на твоей машинке. Если же логин и пароль выданы тебе в большой компании, в которой ты работаешь, то такая учётка будет являться доменной, то есть заведённой в рамках некоторой рабочей группы.
Доменные учётные записи удобно создавать именно для больших сетей, в которых выделяются целые группы пользователей (привет, безмолвные корпоративные ноунеймы) с различными правами доступа. Придуман такой механизм для упрощения управления большим количеством пользователей. Добавил нового админа в группу “Admins”, и все необходимые доступы и права на всех машинках у него уже есть.
Только что я попытался на пальцах и очень кратко описать принцип работы службы MS Active Directory. В самой службе за разделение компьютеров по группам-доменам отвечают контроллеры доменов (domain controller) и они же следят за аутентификацией и последующим выделением прав пользователям, подключающимся к этой группе.
Но как контроллер домена узнает, что ты пытаешься авторизоваться на одном из компьютеров его группы? Для этих целей в MS WIndows есть служба Netlogon, которая забирает учётные данные, введённые на конкретной машинке, доносит их по шифрованному каналу до контроллера домена, а после проверки возвращает по тому же каналу права доступа, выданные пользователю.
А тут нас поджидает опасность! И собственно инфоповод вспомнить про AD. В августе Microsoft выкатили заплатку для новой уязвимости, известной как Zerologon (CVE-2020-1472). Уровень кошмарности у этой дыры был оценён на все 10 ужасов параноика из 10.
Сама идея уязвимости кроется в её названии — спасибо всем ценителям каламбуров. Дело в том, что злоумышленник может инициировать соединение по Netlogon`у с помощью определённой последовательности символов, начинающейся с нулей. Эта неочевидная хитрость собъёт с толку контроллер домена, который наделит атакующего правами привелигированного аккаунта SYSTEM и разрешит сбивать пароли на админских учётках.
Наивно ожидалось, что заплатку от мелкомягких быстро-решительно поставят все и сразу. Но оказалось, что это не так. Microsoft бъёт тревогу. Заплатки поставили далеко не все. Невероятно, но факт!
Кстати, нынешняя заплатка от CVE-2020-1472 — это именно костыль, который блокирует использование конкретной реализации атаки. При этом, он допускает подключение к контроллеру домена машинок со старыми (legacy) системами. Однако в журналах аудита подключений на контроллерах эти небезопасные соединения фиксируются и учитываются.
К 9 февраля 2021 года Microsoft проведет разъяснительно-карательную беседу о необходимости устанавливать обновления и патчи выпустит полную версию патча для защиты от Zerologon, в котором, кроме всего прочего, будет вообще запрещено использование старых версий службы. Раунд!
И к этому тоже надо быть готовыми.
Кстати, если ты пользуешься исключительно локальными учётками, то эта уязвимость тебе не страшна. Можешь воспринимать эту статью, как исключительно просветительскую.