Huis > Cyber ​​Nieuws > CVE-2020-17049: Bypass van Kerberos-beveiligingsfunctie heeft nu proof-of-concept-code
CYBER NEWS

CVE-2020-17049: Bypass van Kerberos-beveiligingsfunctie heeft nu proof-of-concept-code

door   |  Last Update:  |  0 Reacties  

kwetsbaarheidstekenCVE-2020-17049 is een door Kerberos-beveiligingsfunctie omzeilde kwetsbaarheid die nu is bewapend door een proof-of-concept exploitcode. De PoC-code geeft een nieuwe aanvalstechniek weer waarmee bedreigingsactoren toegang kunnen krijgen tot netwerkdiensten.

Zo'n aanval kan verschillende gevolgen hebben. Systemen met Windows 10 Jubileumupdate was beschermd tegen twee exploits voordat Microsoft de patches aanpaste’ kwesties. De nieuwe aanval is onderdrukt door de Bronze Bit-aanval en het patchen ervan was een behoorlijke uitdaging voor Microsoft. Een eerste oplossing voor de exploit werd vorige maand in november uitgebracht 2020 Patch Tuesday.

Echter, sommige Microsoft-klanten hadden problemen met de patch, en deze maand moest er een nieuwe worden uitgegeven.




CVE-2020-17049

Beveiligingsonderzoek Jake Karnes van NetSPI publiceerde een technische analyse van CVE-2020-17049 om netwerkingenieurs te helpen de kwetsbaarheid beter te begrijpen. De onderzoekers creëerden ook een proof-of-concept-code samen met de technische analyse. De onderzoeker zegt dat de Bronze Bit-aanval een nieuwe variant is van bekende Golden Ticket- en Silver Ticker-exploits gericht op de Kerberos-authenticatie. Het gemeenschappelijke element in alle exploits is dat ze kunnen worden gebruikt zodra een bedreigingsacteur het interne netwerk van een bedrijf heeft geschonden.

Sindsdien is het Kerberos-verificatieprotocol aanwezig in alle standaard Windows-versies 2000, veel systemen lopen mogelijk gevaar. Een aanvaller die ten minste één systeem op een netwerk heeft geschonden en wachtwoord-hashes heeft geëxtraheerd, kan deze gebruiken om inloggegevens voor andere systemen op hetzelfde netwerk te omzeilen en te fabriceren. De enige voorwaarde is dat het Kerberos-protocol aanwezig is.

De Bronze Bit-aanval verschilt van de andere twee in wat aanvallers proberen te compromitteren. In dit geval, bedreigingsactoren zijn na de S4U2self- en S4U2proxy-protocollen die door Microsoft zijn toegevoegd als uitbreidingen van het Kerberos-protocol. Volgens Karnes, het S4U2self-protocol wordt gebruikt om een ​​serviceticket te verkrijgen voor een gerichte gebruiker voor de gecompromitteerde service. De wachtwoordhash van de service wordt altijd misbruikt.

“De aanval manipuleert vervolgens dit serviceticket door ervoor te zorgen dat de door te sturen vlag is ingesteld (het omdraaien van de “Doorstuurbaar” beetje bij 1). Het geknipte serviceticket wordt vervolgens gebruikt in het S4U2proxy-protocol om een ​​serviceticket voor de beoogde gebruiker voor de beoogde service te verkrijgen,” de onderzoeker uitgelegd.

Meer over het Kerberos-protocol

De Windows Active Directory gebruikt het Kerberos-protocol om gebruikers te authenticeren, servers, en andere bronnen aan elkaar binnen een domein. Het protocol is gebaseerd op symmetrische sleutelcryptografie waarbij elke opdrachtgever een langetermijngeheime sleutel heeft.

Deze geheime sleutel is alleen bekend bij de opdrachtgever zelf en bij het sleuteldistributiecentrum (KDC). In een AD-omgeving, de domeincontroller vervult de rol van de KDC. (...) Met zijn kennis van de geheime sleutel van elke opdrachtgever, de KDC vergemakkelijkt authenticatie van de ene opdrachtgever naar de andere door uitgifte “kaartjes.” Deze tickets bevatten metadata, autorisatie-informatie en extra geheime sleutels die kunnen worden gebruikt met toekomstige tickets, Karnes zegt in zijn theoretische artikel.

Zoals reeds gezegd, Microsoft heeft de afgelopen maanden verschillende patches uitgebracht om het probleem op te lossen. Deze patches bevinden zich in het MSRC toegewijde adviesgids. Hierin is meer informatie van Microsoft beschikbaar ondersteuningsartikel.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Gerelateerde berichten:
  1. Adobe Patches 112 Kwetsbaarheden in laatste patch Package (CVE-2018-5007) Adobe heeft het nieuwste patchpakket uitgebracht dat een....
  2. CVE-2018-11.776 Proof-of-Concept Gepubliceerd op GitHub Vorige week, berichtten we over CVE-2018-11.776, a new highly critical...
  3. Proof-of-Concept Uboat Botnet Repliceert Real-World Weapons The UBoat botnet is a proof-of-concept botnet that has been...
  4. Spreken(een)R Proof-of-Concept Malware Blijkt Headphones in Spies Al onze toestellen zou kunnen uitmonden in een gateway voor spionage,...
  5. CVE-2018-8235: Beveiligingsfunctie Bypass Bug in Edge, patch Now! An independent security researcher has uncovered by accident quite the...
  6. Out-of-band beveiligingsupdates voor CVE-2020-17022, CVE-2020-17023 Twee out-of-band beveiligingsupdates die de kwetsbaarheden CVE-2020-17022 en CVE-2020-17023 verhelpen..
  7. .ODIN Virusverwijderingsprogramma (Locky Ransomware) Locky ransomware blijft evolueren. De nieuwe extensie .ODIN is...
  8. CVE-2022-31656: Kritieke VMware-verificatie-bypass-kwetsbaarheid VMware heeft onlangs nog een set patches uitgebracht die een nummer adresseren..

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens