Det amerikanska säkerhetsföretaget Secura har publicerat ett white paper som beskriver en sårbarhet som låter en angripare ta total kontroll över Active Directory utan någon autentisering överhuvudtaget.
Secura har också utvecklat ett så kallat proof-of-concept, men valt att inte publicera det innan Microsoft kan bekräfta att tillräckligt många AD-kontrollanter är uppdaterade. Detta har dock inte hindrat andra säkerhetsföretag från att ta fram egna PoC och publicera dessa, skriver Ars Technica.
Högsta poängen
Sårbarheten, som Secura gett namnet Zerologon, har fått tracking-koden CVE-2020-1472 och den högsta CVSS-poängen 10. Sårbarheten utnyttjar en av Microsoft mindre väl utförd implementation av säkerhetsprotokollet AES-CFB8.
För att kunna utnyttja sårbarheten behöver en angripare redan ha en fot inne i nätverket, men det räcker med vilken dator som helst, och vanliga användarrättigheter, som kan upprätta en tcp-session med en AD-kontrollant.
Zerologon använder Netlogon-protokollet för att skicka en serie meddelanden med strängar av nollor på noga utvalda ställena. AES-CFB8 använder så kallade initieringsvektorer som måste vara slumpmässiga och unika i varje meddelande, men Microsoft har missat detta grundkrav för att protokollet ska fungera säkert.
Snabbt ute med varning
Publiceringen av Zerologon har fått mycket uppmärksamhet. Den amerikanska it-säkerhetsmyndigheten CISA var snabbt ute med en varning, och kommentarerna på Twitter haglar. En Windows-användare kallar Zerologon för ”den mest vansinniga sårbarheten i Windows hittills”.
Microsoft har som sagt släppt en uppdatering redan i augusti, men för många administratörer är det inte så enkelt som att bara uppdatera domänkontrollanterna hur som helst. Domänkontrollanterna är inte sällan de mest känsliga systemen inom en organisation, och administratörerna skyndar långsamt med uppdateringar.
Läs också:
Microsoft täpper till 23 kritiska sårbarheter den här månaden
Windows 10 Sandbox öppnar för dag-noll-attack
