image

Hackers misbruiken Zerologon-lek in Windows Server

donderdag 24 september 2020, 11:54 door Redactie, 1 reacties

Ongeveer een week na de bekendmaking van Zerologon, de ernstige kwetsbaarheid in Windows Server welke hackers toegang kan geven tot interne netwerken, zijn hackers druk bezig om misbruik te maken van deze kwetsbaarheid.

Dat constateert het Microsoft Security Intelligence team. “We hebben aanvallen waargenomen waarbij vrij verkrijgbare exploits worden ingezet”, aldus Microsoft op Twitter.

Zerologon is een kwetsbaarheid die ruim een week geleden door het Nederlandse security-bedrijf Secura werd geopenbaard. Het geeft aanvallers de mogelijkheid om domeinbeheerder te worden zonder over inloggegevens te beschikken door een authenticatietoken voor de Netlogon-functie te vervalsen.

Op 11 augustus publiceerde Microsoft een patch voor deze kwetsbaarheid. Omdat misbruik zo eenvoudig is, wordt het snel patchen van servers sterk aangeraden. Ook de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwde vorige week nog voor het risico van uitbuiting van Zerologon. “Ongepatchte servers zijn aantrekkelijk voor hackers”, waarschuwde de organisatie.

Reacties (1)
24-09-2020, 12:31 door Erik van Straten
Volgens https://www.samba.org/samba/security/CVE-2020-1472.html is Samba vanaf versie 4, indien gebruikt als Domain Controller, kwetsbaar tenzij smb.conf bevat:
server schannel = yes
Vanaf Samba v4.8 is dat de default, maar zou vanwege compatibiliteitsproblemen (of vermoeden/angst daarvoor) kunnen zijn aangepast door een beheerder.

Ook uit de Samba advisory (advies: lees deze helemaal):
[...]
Installations running Samba as a file server only are not directly affected by this flaw, though they may need configuration changes to continue to talk to domain controllers [...]
Users running Samba as a file server should still patch to ensure the server-side mitigations (banning certain un-random values) do not very rarely impact service.
[...]
The published proof of concept exploit for this issue only attempts to authenticate to the NetLogon service but does not attempt a takeover of the domain.
On domains with 'server schannel = yes', these tests claim to show a vulnerability against Samba despite being unable to access any privileged functionality.
[...]
The 'server schannel = yes' smb.conf line is equivalent to Microsoft's 'FullSecureChannelProtection=1' registry key, the introduction of which we understand forms the core of Microsoft's fix.
[...]
Microsoft serverbeheerders moeten niet vergeten om, naast patchen, tevens de genoemde registerwijziging door te voeren!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.