CVE-2020-17049 è una vulnerabilità di bypass della funzionalità di sicurezza Kerberos che è stata ora sfruttata come arma da un codice di exploit proof-of-concept. Il codice PoC mostra una nuova tecnica di attacco che può consentire agli autori delle minacce di accedere ai servizi connessi alla rete.
Un simile attacco può avere varie implicazioni. Sistemi che eseguono Windows 10 Anniversary Update era protetto da due exploit prima che Microsoft risolvesse le patch’ problemi. Il nuovo attacco è stato sostituito dall'attacco Bronze Bit e correggerlo è stato piuttosto impegnativo per Microsoft. Una correzione iniziale per l'exploit è stata rilasciata il mese scorso a novembre 2020 Patch Martedì.
Tuttavia, alcuni clienti Microsoft avevano problemi con la patch, e un nuovo doveva essere emesso questo mese.
CVE-2020-17049
La ricerca sulla sicurezza Jake Karnes di NetSPI ha pubblicato un'analisi tecnica di CVE-2020-17049 per aiutare gli ingegneri di rete a comprendere meglio la vulnerabilità. I ricercatori hanno anche creato un codice proof-of-concept insieme all'analisi tecnica. Il ricercatore afferma che l'attacco Bronze Bit è una nuova variante dei noti exploit Golden Ticket e Silver Ticker finalizzati all'autenticazione Kerberos. L'elemento comune a tutti gli exploit è che possono essere sfruttati una volta che un attore di minacce ha violato la rete interna di un'azienda.
Poiché il protocollo di autenticazione Kerberos è stato presente in tutte le versioni standard di Windows da allora 2000, molti sistemi possono essere a rischio. Un utente malintenzionato che ha violato almeno un sistema su una rete e ha estratto gli hash delle password può utilizzarli per aggirare e fabbricare credenziali per altri sistemi sulla stessa rete. L'unica condizione è che il protocollo Kerberos sia attivo.
L'attacco Bronze Bit differisce dagli altri due in quali parti gli attaccanti stanno cercando di scendere a compromessi. In questo caso, gli attori delle minacce seguono i protocolli S4U2self e S4U2proxy aggiunti da Microsoft come estensioni del protocollo Kerberos. Secondo Karnes, il protocollo S4U2self viene utilizzato per ottenere un ticket di servizio per un utente mirato al servizio compromesso. L'hash della password del servizio viene sempre utilizzato in modo improprio.
“L'attacco quindi manipola questo ticket di servizio assicurandosi che sia impostato il flag forwardable (capovolgendo il “Spedibile” un po 'a 1). Il ticket di servizio manomesso viene quindi utilizzato nel protocollo S4U2proxy per ottenere un ticket di servizio per l'utente mirato al servizio mirato,” il ricercatore spiegato.
Ulteriori informazioni sul protocollo Kerberos
Windows Active Directory utilizza il protocollo Kerberos per autenticare gli utenti, server, e altre risorse tra loro all'interno di un dominio. Il protocollo si basa sulla crittografia a chiave simmetrica in cui ogni principale ha una chiave segreta a lungo termine.
Questa chiave segreta è conosciuta solo dal principale stesso e dal Key Distribution Center (KDC). In un ambiente AD, il controller di dominio svolge il ruolo di KDC. (...) Con la sua conoscenza della chiave segreta di ogni preside, il KDC facilita l'autenticazione da un'entità all'altra mediante l'emissione “Biglietti.” Questi ticket contengono metadati, informazioni sull'autorizzazione e chiavi segrete aggiuntive che possono essere utilizzate con biglietti futuri, Dice Karnes nel suo articolo teorico.
Come già accennato, Microsoft ha rilasciato diverse patch negli ultimi due mesi per risolvere il problema. Queste patch si trovano nel file Guida consultiva dedicata MSRC. Ulteriori informazioni da Microsoft sono disponibili in questo articolo di supporto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: