CVE-2020-17049 is een door Kerberos-beveiligingsfunctie omzeilde kwetsbaarheid die nu is bewapend door een proof-of-concept exploitcode. De PoC-code geeft een nieuwe aanvalstechniek weer waarmee bedreigingsactoren toegang kunnen krijgen tot netwerkdiensten.
Zo'n aanval kan verschillende gevolgen hebben. Systemen met Windows 10 Jubileumupdate was beschermd tegen twee exploits voordat Microsoft de patches aanpaste’ kwesties. De nieuwe aanval is onderdrukt door de Bronze Bit-aanval en het patchen ervan was een behoorlijke uitdaging voor Microsoft. Een eerste oplossing voor de exploit werd vorige maand in november uitgebracht 2020 Patch Tuesday.
Echter, sommige Microsoft-klanten hadden problemen met de patch, en deze maand moest er een nieuwe worden uitgegeven.
CVE-2020-17049
Beveiligingsonderzoek Jake Karnes van NetSPI publiceerde een technische analyse van CVE-2020-17049 om netwerkingenieurs te helpen de kwetsbaarheid beter te begrijpen. De onderzoekers creëerden ook een proof-of-concept-code samen met de technische analyse. De onderzoeker zegt dat de Bronze Bit-aanval een nieuwe variant is van bekende Golden Ticket- en Silver Ticker-exploits gericht op de Kerberos-authenticatie. Het gemeenschappelijke element in alle exploits is dat ze kunnen worden gebruikt zodra een bedreigingsacteur het interne netwerk van een bedrijf heeft geschonden.
Sindsdien is het Kerberos-verificatieprotocol aanwezig in alle standaard Windows-versies 2000, veel systemen lopen mogelijk gevaar. Een aanvaller die ten minste één systeem op een netwerk heeft geschonden en wachtwoord-hashes heeft geëxtraheerd, kan deze gebruiken om inloggegevens voor andere systemen op hetzelfde netwerk te omzeilen en te fabriceren. De enige voorwaarde is dat het Kerberos-protocol aanwezig is.
De Bronze Bit-aanval verschilt van de andere twee in wat aanvallers proberen te compromitteren. In dit geval, bedreigingsactoren zijn na de S4U2self- en S4U2proxy-protocollen die door Microsoft zijn toegevoegd als uitbreidingen van het Kerberos-protocol. Volgens Karnes, het S4U2self-protocol wordt gebruikt om een serviceticket te verkrijgen voor een gerichte gebruiker voor de gecompromitteerde service. De wachtwoordhash van de service wordt altijd misbruikt.
“De aanval manipuleert vervolgens dit serviceticket door ervoor te zorgen dat de door te sturen vlag is ingesteld (het omdraaien van de “Doorstuurbaar” beetje bij 1). Het geknipte serviceticket wordt vervolgens gebruikt in het S4U2proxy-protocol om een serviceticket voor de beoogde gebruiker voor de beoogde service te verkrijgen,” de onderzoeker uitgelegd.
Meer over het Kerberos-protocol
De Windows Active Directory gebruikt het Kerberos-protocol om gebruikers te authenticeren, servers, en andere bronnen aan elkaar binnen een domein. Het protocol is gebaseerd op symmetrische sleutelcryptografie waarbij elke opdrachtgever een langetermijngeheime sleutel heeft.
Deze geheime sleutel is alleen bekend bij de opdrachtgever zelf en bij het sleuteldistributiecentrum (KDC). In een AD-omgeving, de domeincontroller vervult de rol van de KDC. (...) Met zijn kennis van de geheime sleutel van elke opdrachtgever, de KDC vergemakkelijkt authenticatie van de ene opdrachtgever naar de andere door uitgifte “kaartjes.” Deze tickets bevatten metadata, autorisatie-informatie en extra geheime sleutels die kunnen worden gebruikt met toekomstige tickets, Karnes zegt in zijn theoretische artikel.
Zoals reeds gezegd, Microsoft heeft de afgelopen maanden verschillende patches uitgebracht om het probleem op te lossen. Deze patches bevinden zich in het MSRC toegewijde adviesgids. Hierin is meer informatie van Microsoft beschikbaar ondersteuningsartikel.