ช่องโหว่ Zerologon (Privilege Escalation) หมายเลข CVE-2020-1472

Zerologon

เมื่อวันที่ 11 กันยายน 2563 ได้มีการประกาศช่องโหว่ Zerologon หรือ CVE-2020-1472 ที่อาศัยจุดอ่อนบน Microsoft Windows Netlogon Remote Protocol (MS-NRPC) ที่ใช้สำหรับรับรองการพิสูจน์ตัวตนบนเครื่องคอมพิวเตอร์แม่ข่าย Windows Server ที่ทำหน้าที่เป็น Domain Controller ขององค์กร ด้วยการเข้ารหัสในรูปแบบ AES-CFB8 โดยช่องโหว่นี้ผู้บุกรุกจำเป็นที่จะต้องสามารถเข้าถึงระบบเครือข่ายภายในองค์กรได้ก่อนโดยไม่สามารถโจมตีจากระบบเครือข่ายภายนอกได้ ซึ่งช่องโหว่ Zerologon มีผลกระทบดังนี้

– Session Hijack Active Directory

– Disable Security Feature Netlogon

– Change Password Active Directory

ในปัจจุบันได้มีการปล่อย Source Code ที่ใช้สำหรับการโจมตีช่องโหว่ Zerologon พฤติกรรมที่หวังผลคือ ดำเนินการเปลี่ยนรหัสผ่านของบัญชีผู้ใช้บน Active Directory ให้เป็นค่าว่างได้ (Empty) ด้วยการเติมอักษระ “0” ลงในพารามิเตอร์ ซึ่งเราสามารถนำผลลัพธ์นี้ไปประยุกต์ใช้เพื่อตรวจสอบหรือตรวจจับพฤติกรรมการบุกรุกได้หากองค์กรของเราถูกโจมตีด้วยช่องโหว่นี้

วิธีการตรวจสอบ

– ตรวจสอบ Windows Event Log (4742) หากพบพฤติกรรม ANONYMOUS LOGON ดำเนินการเปลี่ยนแปลงแก้ไขข้อมูลผู้ใช้งาน ให้ดำเนินการแจ้งเตือนไปยังผู้ดูแลระบบหรือควรพิจารณาตรวจสอบพฤติกรรมที่มาที่ไปในทันทีว่าเป็นพฤติกรรมทั่วไป หรือ มาจากช่องโหว่ CVE-2020-1472

– การตรวจสอบช่องโหว่ Zerologon บนเครื่องคอมพิวเตอร์แม่ข่าย
https://github.com/SecuraBV/CVE-2020-1472

– การทดสอบเจาะระบบ (Penetration Test)
https://github.com/risksense/zerologon?fbclid=IwAR24UfwrcOpcb8GT-VYEFBQm5Rh7UaXWqPcGh25Ina_q0p82ynuQdTT11lM

รายชื่อผลิตภัณฑ์ที่ได้รับผลกระทบ

– Windows Server 2008 R2 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
– Windows Server 2012
– Windows Server 2012 (Server Core installation)
– Windows Server 2012 R2
– Windows Server 2012 R2 (Server Core installation)
– Windows Server 2016
– Windows Server 2016 (Server Core installation)
– Windows Server 2019
– Windows Server 2019 (Server Core installation)
– Windows Server, version 1903 (Server Core installation)
– Windows Server, version 1909 (Server Core installation)
– Windows Server, version 2004 (Server Core installation)

วิธีการดำเนินการแก้ไข

– ติดตั้ง Patch Security ตามลิงค์ด้านล่าง

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

แหล่งอ้างอิง

thaicert.or.th
https://asciinema.org/a/359833
https://www.splunk.com/en_us/blog/security/detecting-cve-2020-1472-using-splunk-attack-range.html
https://www.zdnet.com/article/zerologon-attack-lets-hackers-take-over-enterprise-networks/
https://github.com/SecuraBV/CVE-2020-1472

ผู้เขียน : ณัฐวุฒิ โอภาสเอี่ยมลิขิต

ผู้ตรวจทาน : นาย เจษฎา ทองก้านเหลือง

เผยแพร่ : วันที่ 21 กันยายน 2563