Zerologon-kwetsbaarheid vormt een bedreiging voor domeincontrollers

De CVE-2020-1472-kwetsbaarheid in het Netlogon-protocol, ook wel Zerologon genaamd, stelt aanvallers in staat om domeincontrollers te kapen.

Op de Patch Tuesday van august maakte Microsoft een einde aan verschillende kwetsbaarheden, waaronder CVE-2020-1472. De kwetsbaarheid in het Netlogon-protocol werd aangemerkt met een “kritiek” urgentieniveau (het kreeg de maximale CVSS-score, 10,0). Dat dit een dreiging kon vormen werd nooit betwijfeld, maar laatst publiceerde Secura-onderzoeker Tom Tervoort (die hem ontdekte) een gedetailleerd rapport waarin werd uitgelegd waarom de kwetsbaarheid die bekend is als Zerologon zo gevaarlijk is en hoe hij kan worden gebruikt om een domeincontroller te kapen.

Hoe zit het nou met Zerologon?

In feite is CVE-2020-1472 het resultaat van een fout in het cryptografische authenticatieprogramma van het Netlogon Remote Protocol. Dit protocol authentiseert gebruikers en machines in domein-gebaseerde netwerken en wordt ook gebruikt om op afstand computerwachtwoorden te updaten. Via deze kwetsbaarheid kan een aanvaller een client computer nabootsen en het wachtwoord van een domeincontroller (een server die een volledig netwerk beheert en Active Directory-diensten runt) wijzigen, en hierdoor krijgt de aanvaller domeinbeheerdersrechten.

Wie loopt er gevaar?

CVE-2020-1472 vormt een risico voor bedrijven waarvan de netwerken gebaseerd zijn op domeincontrollers die op Windows draaien. Cybercriminelen kunnen in het bijzonder een domeincontroller kapen die is gebaseerd op elke versie van Windows Server 2019 of Windows Server 2016, evenals elke editie van Windows Server version 1909, Windows Server versie 1903, Windows Server versie 1809 (Datacenter en Standard-edities), Windows Server 2012 R2, Windows Server 2012, of Windows Server 2008 R2 Service Pack 1. Voor een aanval moeten cybercriminelen eerst het bedrijfsnetwerk penetreren, maar dat is nog niet zo’n probleem — insider-aanvallen en binnendringing via ethernet-stopcontacten bij openbaar toegankelijke gebouwen is al vaak genoeg voorgekomen.

Gelukkig is Zerologon vooralsnog niet in een echte aanval gebruikt (of daar is in ieder geval nog geen melding van gemaakt). Het rapport van Tervoort deed echter veel stof opwaaien, en dat heeft waarschijnlijk ook de aandacht van cybercriminelen getrokken. Hoewel de onderzoekers geen werkend proof of concept publiceerden, bestaat er geen twijfel dat aanvallers er een kunnen creëren op basis van de patches.

Hoe beschermt u zichzelf tegen Zerologon-aanvallen?

Microsoft heeft eerder in augustus dit jaar patches uitgebracht om de kwetsbaarheid in alle getroffen systemen te sluiten, dus als u nog geen update hebt uitgevoerd, is het daar nu wel tijd voor. Bovendien raadt het bedrijf aan om eventuele inlogpogingen die gemaakt zijn via de kwetsbare versie van het protocol in de gaten te houden en om de apparaten te identificeren die de nieuwe versie niet ondersteunen. Volgens Microsoft is het het beste als de domeincontroller wordt ingesteld op een modus waarin alle apparaten de veilige versie van Netlogon gebruiken.

De updates dwingen niet tot deze beperking, want Netlogon Remote Protocol wordt niet alleen in Windows gebruikt, maar tal van apparaten die op andere besturingssystemen zijn gebaseerd vertrouwen ook op dit protocol. Als u het gebruik verplicht maakt, zullen apparaten die de veilige versie niet ondersteunen niet correct werken.

Desalniettemin zullen domeincontrollers vanaf 9 februari 2021 verplicht zijn om zo’n modus te gebruiken (en dus worden alle apparaten gedwongen om het geüpdatete, veilige Netlogon te gebruiken), dus beheerders moeten het probleem van compliance met apparaten van derden vóór die tijd oplossen (door te updaten of ze handmatig als uitzonderingen toe te voegen). Bekijk voor meer informatie over wat de patch van augustus precies doet, wat er in februari verandert en de gedetailleerde richtlijnen deze Microsoft-post.

Tips