KWETSBAARHEID VOOR NETLOGON - HET VERHOGEN VAN DE PRIVILEGES TOT HET NIVEAU VAN DE DOMAIN CONTROLLER
CVE-2020-1472 - CVSSv3 10
Bronnen
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2...
https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-chang...
https://www.kaspersky.com/blog/cve-2020-1472-domain-controller-vulnerabi...
https://www.tenable.com/cve/CVE-2020-1472
Risico’s
Een niet-geauthenticeerde aanvaller met netwerktoegang kan zich voordoen als een domain controller of een computer binnen het domein.
Dit geeft de aanvaller enkele mogelijkheden, waaronder het wijzigen van het wachtwoord van het Active Directory account door een leeg wachtwoord op de domain controller wat leidt tot een denial of service en mogelijk het bekomen van beheerdersrechten op het domein.
Beschrijving
Microsoft Windows Netlogon Remote Protocol (MS-NRPC) is een authenticatiecomponent van de Active Directory die gebruikers en computeraccounts authentiseert. Het maakt gebruik van een bekende nul-waarde initialisatie vector in AES-CFB8 modus.
Bij het encrypteren van een bericht dat alleen bestaat uit nullen met een initialisatievector van nul, is er een kans van 1 op 256 dat een aanvaller zich met succes kan authenticeren als elke computer met een verbinding tot het domein. Dit geeft de mogelijkheid om de Domain Controllers te imiteren en stelt een aanvaller in staat om het Active Directory wachtwoord te wijzigen en eventueel domein beheerdersrechten te verkrijgen.
Om deze kwetsbaarheid te misbruiken heeft een aanvaller eerst toegang tot het bedrijfsnetwerk nodig.
Aanbevolen acties
CERT.be raadt aan om alle laatste updates voor de betreffende Windows-versies te installeren, deze zijn te vinden op de officiële Microsoft Portal.