Pesquisadores da empresa Secura desenvolveram um exploit que se aproveita de uma falha descoberta após uma recente atualização do Windows. O método permite acesso aos controladores de domínio do Active Directory (AD). O Active Directory é uma ferramenta da Microsoft para o gerenciamento dos usuários de rede e esses controladores atuam como “porteiros” para as máquinas conectadas a ela.
Conhecida como CVE-2020-1472, a vulnerabilidade é classificada como severamente crítica pela Microsoft e tem nota máxima no ranking da Common Vulnerability Scoring System(CVSS), iniciativa pública para classificar e qualificar ameaças e vulnerabilidades em sistemas de computadores. Para a técnica funcionar, o agressor já deve ter uma base dentro do sistema, seja como um insider sem privilégios ou através do comprometimento de um dispositivo conectado.
Essas novas formas de ataque aos computadores utilizando esses exploits têm se tornado comuns entre os hackers, pois dão muito menos trabalho e reduzem o tempo de invasão. Garantir acesso a itens valiosos no computador hackeado ou conseguir o mínimo de brecha para instalar malwares ou comandos pode demorar semanas ou meses, mesmo depois que o alvo clicar no link ou abrir o email infectado. Com o novo exploit chamado de Zeralogon, o acesso é instantâneo.
Hackers se beneficiam de brechas no sistema de criptografia do Windows para invadir o servidor. Créditos: scanrail/iStock
Uma nova forma de hackear
Desenvolvido pelos pesquisadores da companhia de segurança digital Secura, o novo Zeralogon permite acesso instantâneo do Active Directory, deixando os hackers livres para realizarem o que bem entenderem. Segundo o artigo publicado pelos pesquisadores, o exploit “basicamente permite que qualquer agressor na rede local (tanto um insider malicioso ou alguém que simplesmente plugou um aparelho em alguma porta de rede local) comprometa completamente o domínio do Windows. O ataque é completamente não autenticado: o agressor não precisa de nenhuma credencial do usuário.”
Ainda segundo eles, o exploit funciona de maneira confiável, mas devido ao alto risco, não vão disponibilizá-lo até que uma grande parte de servidores já tenham recebido o pacote de atualizações da Microsoft. Porém, eles alertam que não é difícil usar a atualização de forma reversa e desenvolver o exploit. No Twitter, alguns perfis já demonstravam que o método realmente funcionava.
Brecha se estabelece baseada na comunicação entre servidores da e o computador. Créditos: imaginima/iStock
Como funciona?
O Zerolog funciona enviando uma sequência de zeros em uma série de mensagens que usam o protocolo Netlogon, usado pelos servidores do Windows para diversas tarefas, entre elas permitir que os usuários finais façam login em uma rede. Pessoas sem autorização podem usar o exploit para ganhar domínio das credenciais administrativas, contanto que os agressores tenham a habilidade de estabelecer conexões TCP com o controlador de domínio vulnerável.
A vulnerabilidade se baseia no uso do AES-CFB8 pelo Windows, ou simplesmente usando um chyper feedback com um sistema de criptografia baseado no AES. Para funcionar, o sistema AES-CFB8 precisa que os vetores de inicialização sejam únicos e gerados de forma aleatória a cada mensagem. O Windows falhou em observar este requisito e o Zerologon explora essa omissão mandando mensagens com zero colocados em lugares cuidadosamente selecionados.
A divulgação da descoberta chamou a atenção de diversos usuários no Twitter e até da Agência de Segurança Cibernética e Segurança de Infraestrutura dos EUA (CISA). Enquanto alguns usuários da rede social se assustavam com a facilidade de se conseguir usar o exploit na brecha de segurança da Microsoft, a CISA divulgou uma nota pedindo para que usuários e administradores revisem o aviso de segurança de agosto da Microsoft e façam as atualizações necessárias.
So yes, Zerologon (CVE-2020-1472) is quite easy to exploit. Unauthenticated user to Domain Admin. This is really scary. Run exploit, DCSync with DC account and empty NT hash: you have Domain Admin and a broken DC.
Awesome find by Tom Tervoort 🙂. Patch patch patch! pic.twitter.com/XHRO7n50Qh
— Dirk-jan (@_dirkjan) September 14, 2020
Yeah, I can confirm that this public exploit for Zerologon (CVE-2020-1472) works. Anybody who has not installed the patch from August’s Patch Tuesday already is going to be in much worse shape than they already were.https://t.co/SWK2hUDOYc https://t.co/0SDFfageQC pic.twitter.com/Lg8auMdtVU
— Will Dormann (@wdormann) September 14, 2020
Depois de notificada pela Secura, em nota, a Microsoft afirmou que uma atualização foi lançada em agosto de 2020 e os consumidores que atualizaram seus computadores já estão protegidos.
Fonte: ArsTechnica