{"id":3175,"date":"2020-09-21T08:36:38","date_gmt":"2020-09-21T06:36:38","guid":{"rendered":"https:\/\/xopero.com\/blog\/?p=3175"},"modified":"2023-12-28T10:59:54","modified_gmt":"2023-12-28T09:59:54","slug":"zerologon-blesa-http-smuggling-atak-blindside","status":"publish","type":"post","link":"https:\/\/xopero.com\/blog\/pl\/zerologon-blesa-http-smuggling-atak-blindside\/","title":{"rendered":"Zerologon \/ BLESA \/ HTTP Smuggling \/ Atak BlindSide"},"content":{"rendered":"\n

W zesz\u0142ym miesi\u0105cu Microsoft za\u0142ata\u0142 prawdopodobnie jeden z najpowa\u017cniejszych b\u0142\u0119d\u00f3w, jakie kiedykolwiek zg\u0142oszono firmie. Luka nazwana Zerologon umo\u017cliwia atakuj\u0105cym infiltracj\u0119 firm poprzez uzyskanie uprawnie\u0144 administracyjnych, daj\u0105c im dost\u0119p do firmowych kontroler\u00f3w domeny Active Directory. Luka otrzyma\u0142a maksymaln\u0105 ilo\u015b\u0107 punkt\u00f3w na skali CVSS, jednak \u017cadne szczeg\u00f3\u0142y nie zosta\u0142y upublicznione przez Microsoft. Oznacza to, \u017ce u\u017cytkownicy i administratorzy IT nie wiedzieli, z jak niebezpieczn\u0105 podatno\u015bci\u0105 mieli do czynienia. Wi\u0119cej informacji znajdziecie poni\u017cej.<\/p>\n\n\n\n\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

1. Zerologon pozwala na przej\u0119cie kontrolera domeny w 3…2..1…<\/strong><\/h2>\n\n\n

Przy okazji ka\u017cdego Centrum Bezpiecze\u0144stwa<\/a> Xopero przypominamy, jak istotne s\u0105 regularne aktualizacje. Niestety, na w\u0142asnej sk\u00f3rze mog\u0105 przekona\u0107 si\u0119 o tym wszystkie organizacje, kt\u00f3re w terminie nie zastosowa\u0142y sierpniowych aktualizacji Microsoftu. Wtedy, bez wi\u0119kszego echa za\u0142atana zosta\u0142a luka CVE-2020-1472 (10\/10) umo\u017cliwiaj\u0105ca podniesienie uprawnie\u0144 w protokole zdalnym Netlogon (MS-NRPC).<\/p>\n\n\n\n

CVE-2020-1472 (aka Zerologon) dotyczy wszystkich obs\u0142ugiwanych wersji systemu Windows Server od 2008 wzwy\u017c. Zagro\u017cenie jest jednak najwi\u0119ksze w przypadku serwer\u00f3w, kt\u00f3re dzia\u0142aj\u0105 jako kontrolery domeny Active Directory w sieciach korporacyjnych.<\/p>\n\n\n\n

Luka wynika z b\u0142\u0119du w schemacie uwierzytelniania kryptograficznego u\u017cywanego przez Netlogon Remote Protocol. Netlogon korzysta z algorytmu AES, w  trybie CFB8. Ten wykorzystuje do\u015b\u0107 cz\u0119sto spotykany w kryptografii IV, a in\u017cynierowie Microsoftu wymagaj\u0105 \u017ceby sk\u0142ada\u0142 si\u0119 on z samych zer (!). Wystarczy 256 pr\u00f3b (a mo\u017cna pr\u00f3bowa\u0107 do woli), aby serwer zaakceptowa\u0142 logowanie – to powinno zaj\u0105\u0107 ok…3 sekund. <\/p>\n\n\n\n

Atakuj\u0105cy mo\u017ce zmieni\u0107 has\u0142o kontrolera domeny, przechowywane w us\u0142udze AD, a nast\u0119pnie wykorzysta\u0107 je do uzyskania po\u015bwiadcze\u0144 administratora. Podatno\u015b\u0107 nie wymaga posiadania \u017cadnego konta, exploit jest szybki i dzia\u0142a bardzo stabilnie, dotyka wszystkich obs\u0142ugiwanych serwer\u00f3w Windows i umo\u017cliwia pe\u0142en dost\u0119p do administratora domeny. <\/p>\n\n\n\n

W ci\u0105gu ostatniego tygodnia opublikowano wiele proofs-of-concept (PoC), a efektywno\u015b\u0107 wielu z nich zosta\u0142a potwierdzona. Exploit ten znalaz\u0142 r\u00f3wnie\u017c zastosowanie w najnowszej wersji Mimikatz. <\/p>\n\n\n\n

Badacze z Secura opublikowali skrypt Pythona<\/a>, kt\u00f3ry organizacje mog\u0105 wykorzysta\u0107 do sprawdzenia, czy kontroler domeny jest podatny na ataki.<\/p>\n\n\n

Zerologon – jak si\u0119 chroni\u0107?<\/strong><\/h5>\n\n\n

Systemy, kt\u00f3re otrzyma\u0142y sierpniow\u0105 poprawk\u0119 s\u0105 zabezpieczone przed atakiem. Aktualizacja kontroler\u00f3w domeny us\u0142ugi Active Directory umo\u017cliwi domy\u015bln\u0105 ochron\u0119 urz\u0105dze\u0144 z systemem Windows. Pe\u0142ne \u015brodki zaradcze zadzia\u0142aj\u0105 dopiero po wdro\u017ceniu przez organizacj\u0119 trybu wymuszania kontrolera domeny, kt\u00f3ry wymaga aby wszystkie urz\u0105dzenia u\u017cywa\u0142y bezpiecznego NRPC. Cho\u0107 organizacje mog\u0105 wdro\u017cy\u0107 go natychmiast, od 9 lutego 2021 r. kontrolery domeny zostan\u0105 domy\u015blnie prze\u0142\u0105czone w tryb wymuszania. <\/p>\n\n\n\n

\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n

<\/div>\n\n\n\n<\/a>\n\n\n

2. BLESA, czyli miliardy urz\u0105dze\u0144 IoT z podatno\u015bci\u0105 w zabezpieczeniach Bluetooth<\/strong><\/h2>\n\n\n

Smartphony, tablety, laptopy i urz\u0105dzenia IoT\u2026 Wszystkie posiadaj\u0105 podatno\u015b\u0107 w zabezpieczeniach Bluetooth o nazwie BLESA (Bluetooth Low Energy Spoofing Attack). Problem dotyczy wszystkich urz\u0105dze\u0144 wykorzystuj\u0105cych protok\u00f3\u0142 Bluetooth Low Energy (BLE). Z uwagi na funkcj\u0119 oszcz\u0119dzania baterii, protok\u00f3\u0142 BLE w ci\u0105gu ostatniej dekady sta\u0142 si\u0119 technologi\u0105 niemal wszechobecn\u0105 w prawie wszystkich urz\u0105dzeniach zasilanych bateri\u0105.<\/p>\n\n\n\n

Nowy atak BLESA bazuje na procesie nawi\u0105zywania ponownego po\u0142\u0105czenia Bluetooth. W przeciwie\u0144stwie do poprzednich luk – najcz\u0119\u015bciej wyst\u0119puj\u0105cych podczas operacji parowania – proces ponownego \u0142\u0105czenia ma miejsce po tym, jak dwa urz\u0105dzenia BLE (klient i serwer) znalaz\u0142y si\u0119 poza wzajemnym zasi\u0119giem. Zwykle podczas ponownego \u0142\u0105czenia oba urz\u0105dzenia BLE powinny wzajemnie sprawdza\u0107 klucze kryptograficzne wynegocjowane podczas procesu parowania, a tak\u017ce kontynuowa\u0107 przerwan\u0105 wymian\u0119 danych za po\u015brednictwem BLE.<\/p>\n\n\n\n

Jednak zesp\u00f3\u0142 akademik\u00f3w z Purdue odkry\u0142, \u017ce uwierzytelnianie podczas ponownego po\u0142\u0105czenia urz\u0105dzenia jest opcjonalne, a nie obowi\u0105zkowe. Uwierzytelnianie mo\u017cna te\u017c potencjalnie obej\u015b\u0107, je\u015bli urz\u0105dzenie u\u017cytkownika nie wymusi na urz\u0105dzeniu IoT uwierzytelnienia przesy\u0142anych danych.<\/p>\n\n\n\n

Demo ataku BLESA<\/p>\n\n\n\n

\n