Siamo molto orgogliosi ed entusiasti di annunciare che il nostro principale specialista di sicurezza, Tom Tervoort, parlerà al Black Hat USA 2021 sul CVE Zerologon (CVE-2020-1472).
In un ambiente Windows Active Directory, i computer collegati al dominio devono comunicare regolarmente con i controller di dominio per facilitare l'autenticazione di rete NTLM e una serie di altre attività. Questa comunicazione avviene tramite il protocollo remoto Netlogon. L'aspetto interessante di questo protocollo è che non utilizza Kerberos o NTLM per l'autenticazione reciproca. Invece, un protocollo crittografico non standard viene utilizzato da entrambe le parti per dimostrare la conoscenza della password del computer.
Questo protocollo presentava una serie di difetti: uno è una vulnerabilità di downgrade che consente a un attaccante MitM di ottenere l'esecuzione di codice remoto privilegiato sul client Netlogon. Un secondo problema, molto più grave, consentiva l'impersonificazione di account di computer arbitrari. Utilizzando una serie di attacchi di tipo "chosen-ciphertext" contro un'oscura modalità di funzionamento del cifrario a blocchi (che si riduce al semplice riempimento di un certo numero di campi con degli zeri), un aggressore poteva reimpostare la password del computer del controller di dominio su una stringa vuota, estrarre il database degli account con il protocollo DRS e ottenere l'accesso all'amministrazione del dominio.
Un aggressore non ha bisogno di alcun privilegio per portare a termine un attacco. Tutto ciò che serve è un punto d'appoggio iniziale sulla rete, dal quale si possono stabilire connessioni TCP a un DC senza patch. Dalla sua divulgazione nel settembre 2019, questa vulnerabilità "Zerologon" è stata sfruttata su larga scala e ha portato a una direttiva di emergenza del DHS per l'installazione di patch.
In questo intervento, Tom illustrerà la sua ricerca sulla crittografia Netlogon e mostrerà come ha scoperto per caso un problema teorico che si è rivelato una delle vulnerabilità AD più critiche dell'anno. Spiegherà le diverse fasi dell'exploit dell'attacco Zerologon e chiarirà come la patch di Microsoft lo mitiga esattamente.