CVE-2020-17049 est une vulnérabilité de contournement des fonctionnalités de sécurité Kerberos qui a maintenant été militarisée par un code d'exploitation de preuve de concept. Le code PoC affiche une nouvelle technique d'attaque qui peut permettre aux acteurs de la menace d'accéder aux services connectés au réseau.
Une telle attaque peut avoir diverses implications. Systèmes exécutant Windows 10 La mise à jour anniversaire a été protégée contre deux exploits avant que Microsoft ne corrige les correctifs’ problèmes. La nouvelle attaque a été remplacée par l'attaque Bronze Bit et sa correction a été assez difficile pour Microsoft.. Un correctif initial pour l'exploit a été publié le mois dernier en novembre 2020 Patch Tuesday.
Cependant, certains clients Microsoft rencontraient des problèmes avec le correctif, et un nouveau devait être émis ce mois-ci.
CVE-2020-17049
La recherche en sécurité Jake Karnes de NetSPI a publié une ventilation technique de CVE-2020-17049 pour aider les ingénieurs réseau à mieux comprendre la vulnérabilité. Les chercheurs ont également créé un code de preuve de concept avec l'analyse technique. Le chercheur dit que l'attaque Bronze Bit est une nouvelle variante des exploits connus Golden Ticket et Silver Ticker visant l'authentification Kerberos. L’élément commun à tous les exploits est qu’ils peuvent être exploités une fois qu’un acteur menaçant a violé le réseau interne d’une entreprise..
Le protocole d'authentification Kerberos étant présent dans toutes les versions standard de Windows depuis 2000, de nombreux systèmes peuvent être à risque. Un attaquant qui a violé au moins un système sur un réseau et extrait des hachages de mots de passe peut les utiliser pour contourner et fabriquer des informations d'identification pour d'autres systèmes sur le même réseau. La seule condition est que le protocole Kerberos soit en place.
L'attaque Bronze Bit diffère des deux autres dans les parties que les attaquants cherchent à compromettre. Dans ce cas, les acteurs de la menace recherchent les protocoles S4U2self et S4U2proxy ajoutés par Microsoft en tant qu'extensions du protocole Kerberos. Selon Karnes, le protocole S4U2self est utilisé pour obtenir un ticket de service pour un utilisateur ciblé vers le service compromis. Le hachage du mot de passe du service est toujours abusé.
“L'attaque manipule ensuite ce ticket de service en s'assurant que son indicateur transmissible est défini (retournant le “Transférable” peu à 1). Le ticket de service falsifié est ensuite utilisé dans le protocole S4U2proxy pour obtenir un ticket de service pour l'utilisateur ciblé vers le service ciblé,” le chercheur a expliqué.
En savoir plus sur le protocole Kerberos
Windows Active Directory utilise le protocole Kerberos pour authentifier les utilisateurs, serveurs, et d'autres ressources entre elles au sein d'un domaine. Le protocole est basé sur la cryptographie à clé symétrique où chaque mandant a une clé secrète à long terme.
Cette clé secrète n'est connue que du mandant lui-même et du centre de distribution de clés (KDC). Dans un environnement AD, le contrôleur de domaine joue le rôle du KDC. (...) Avec sa connaissance de la clé secrète de chaque mandant, le KDC facilite l'authentification d'un principal à un autre en émettant “des billets.” Ces tickets contiennent des métadonnées, informations d'autorisation et clés secrètes supplémentaires pouvant être utilisées avec de futurs tickets, Karnes dit dans son article théorique.
Comme déjà mentionné, Microsoft a publié plusieurs correctifs au cours des deux derniers mois pour résoudre le problème. Ces patchs sont situés dans le Guide consultatif dédié MSRC. Plus d'informations de Microsoft sont disponibles dans ce article de support.