Nur auf Englisch verfügbar
Wir sind sehr stolz und freuen uns, ankündigen zu können, dass unser Sicherheitsspezialist Tom Tervoort auf der Black Hat USA 2021 über das Zerologon CVE (CVE-2020-1472) sprechen wird.
In einer Windows Active Directory-Umgebung müssen Computer, die einer Domäne angeschlossen sind, regelmäßig mit Domänencontrollern kommunizieren, um die NTLM-Netzwerkauthentifizierung und eine Reihe anderer Aufgaben zu erleichtern. Diese Kommunikation findet über das Netlogon Remote Protocol statt. Das Interessante an diesem Protokoll ist, dass es weder Kerberos noch NTLM für die gegenseitige Authentifizierung verwendet. Stattdessen wird von beiden Parteien ein nicht standardisiertes kryptografisches Protokoll verwendet, um die Kenntnis eines Computerpassworts zu beweisen.
Dieses Protokoll wies eine Reihe von Schwachstellen auf: Eine davon ist eine Downgrade-Schwachstelle, die es einem MitM-Angreifer ermöglicht, privilegierten Remote-Code auf dem Netlogon-Client auszuführen. Eine zweite, weitaus schwerwiegendere Schwachstelle ermöglichte es, sich als ein beliebiges Computerkonto auszugeben. Mit einer Reihe von Chiffrierangriffen gegen einen obskuren Blockchiffriermodus (die darauf hinauslaufen, dass einfach eine Reihe von Feldern mit Nullen gefüllt wird) konnte ein Angreifer das Computerpasswort des Domänencontrollers auf eine leere Zeichenkette zurücksetzen, die Kontodatenbank mit dem DRS-Protokoll extrahieren und sich Zugang zum Domänenadministrator verschaffen.
Ein Angreifer benötigt keine Privilegien, um einen Angriff auszuführen. Alles, was er braucht, ist ein erstes Standbein im Netzwerk, von dem aus TCP-Verbindungen zu einem ungepatchten DC hergestellt werden können. Seit ihrem Bekanntwerden im September 2019 wurde diese "Zerologon"-Schwachstelle in großem Stil ausgenutzt und führte zu einer Notfallanweisung des DHS, Patches zu installieren.
In diesem Vortrag wird Tom seine Forschungen zur Netlogon-Kryptographie erläutern und zeigen, wie er zufällig ein theoretisches Problem entdeckte, das sich als eine der kritischsten AD-Schwachstellen des Jahres herausstellte. Er wird die verschiedenen Schritte des Zerologon-Angriffs erläutern und erklären, wie genau der Patch von Microsoft diesen Angriff abschwächt.