CVE-2020-17049 er en Kerberos-sikkerhedsfunktion, der omgår sårbarhed, der nu er bevæbnet med en proof-of-concept-udnyttelseskode. PoC-koden viser en ny angrebsteknik, der kan give trusselsaktører adgang til netværksforbundne tjenester.
Et sådant angreb kan have forskellige konsekvenser. Systemer, der kører Windows 10 Jubilæumsopdatering blev beskyttet mod to bedrifter, før Microsoft adresserede programrettelser’ spørgsmål. Det nye angreb er blevet underlagt Bronze Bit-angrebet, og det har været ret udfordrende for Microsoft at lappe det. En første løsning til udnyttelsen blev frigivet i sidste måned i november 2020 Patch tirsdag.
Men, nogle Microsoft-kunder havde problemer med programrettelsen, og en ny skulle udstedes i denne måned.
CVE-2020-17049
Sikkerhedsforskning Jake Karnes fra NetSPI offentliggjorde en teknisk opdeling af CVE-2020-17049 for at hjælpe netværksingeniører bedre med at forstå sårbarheden. Forskerne oprettede også en proof-of-concept-kode sammen med den tekniske analyse. Forskeren siger, at Bronze Bit-angrebet er en ny variation af kendte Golden Ticket- og Silver Ticker-udnyttelser rettet mod Kerberos-godkendelsen. Det fælles element i alle bedrifter er, at de kan udnyttes, når en trusselsaktør har brudt en virksomheds interne netværk.
Siden Kerberos-godkendelsesprotokollen har været til stede i alle standard Windows-versioner siden 2000, mange systemer kan være i fare. En angriber, der har brudt mindst et system på et netværk og udpakket adgangskodeshash, kan bruge dem til at omgå og fremstille legitimationsoplysninger til andre systemer på det samme netværk. Den eneste betingelse er, at Kerberos-protokollen er på plads.
Bronze Bit-angrebet adskiller sig fra de to andre i hvilke dele angribere ønsker at gå på kompromis med. I dette tilfælde, trusselaktører er efter S4U2self- og S4U2proxy-protokollerne tilføjet af Microsoft som udvidelser til Kerberos-protokollen. Ifølge Karnes, S4U2self-protokollen bruges til at opnå en servicebillet til en målrettet bruger til den kompromitterede tjeneste. Tjenestens adgangskodeshash misbruges altid.
“Angrebet manipulerer derefter denne servicebillet ved at sikre, at dens videresendelige flag er indstillet (spejlvend “Videresendes” bit til 1). Den manipulerede servicebillet bruges derefter i S4U2proxy-protokollen til at opnå en servicebillet til den målrettede bruger til den målrettede service,” forskeren forklarede.
Mere om Kerberos-protokollen
Windows Active Directory bruger Kerberos-protokollen til at godkende brugere, servere, og andre ressourcer til hinanden inden for et domæne. Protokollen er baseret på symmetrisk nøglekryptografi, hvor hver rektor har en langsigtet hemmelig nøgle.
Denne hemmelige nøgle er kun kendt af rektoren selv og Key Distribution Center (KDC). I et AD-miljø, domænecontrolleren udfører rollen som KDC. (...) Med sin viden om hver hovedmands hemmelige nøgle, KDC letter godkendelse af en hovedstol til en anden ved at udstede “billetter.” Disse billetter indeholder metadata, autorisationsoplysninger og yderligere hemmelige nøgler, som kan bruges sammen med fremtidige billetter, Siger Karnes i sin teoretiske artikel.
Som allerede nævnt, Microsoft frigav flere rettelser i de sidste par måneder for at løse problemet. Disse patches er placeret i MSRC dedikeret rådgivende guide. Flere oplysninger fra Microsoft er tilgængelige i dette supportartikel.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: