www.belgium.be Logo of the federal government

KWETSBAARHEID VOOR NETLOGON - HET VERHOGEN VAN DE PRIVILEGES TOT HET NIVEAU VAN DE DOMAIN CONTROLLER

Referentie: 
Advisory #2020-030
Versie: 
1.0
Geïmpacteerde software: 
Windows Server 2008 R2 voor x64-based Systems Service Pack
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
Windows Server, versie 1903
Windows Server, versie 1909
Windows Server, versie 2004
Type: 
Authentication Bypass, Denial of Service (DoS)
CVE/CVSS: 

CVE-2020-1472 - CVSSv3 10

Bronnen

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2...
https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-chang...
https://www.kaspersky.com/blog/cve-2020-1472-domain-controller-vulnerabi...
https://www.tenable.com/cve/CVE-2020-1472

Risico’s

Een niet-geauthenticeerde aanvaller met netwerktoegang kan zich voordoen als een domain controller of een computer binnen het domein.
Dit geeft de aanvaller enkele mogelijkheden, waaronder het wijzigen van het wachtwoord van het Active Directory account door een leeg wachtwoord op de domain controller wat leidt tot een denial of service en mogelijk het bekomen van beheerdersrechten op het domein.

Beschrijving

Microsoft Windows Netlogon Remote Protocol (MS-NRPC) is een authenticatiecomponent van de Active Directory die gebruikers en computeraccounts authentiseert. Het maakt gebruik van een bekende nul-waarde initialisatie vector in AES-CFB8 modus.

Bij het encrypteren van een bericht dat alleen bestaat uit nullen met een initialisatievector van nul, is er een kans van 1 op 256 dat een aanvaller zich met succes kan authenticeren als elke computer met een verbinding tot het domein. Dit geeft de mogelijkheid om de Domain Controllers te imiteren en stelt een aanvaller in staat om het Active Directory wachtwoord te wijzigen en eventueel domein beheerdersrechten te verkrijgen.

Om deze kwetsbaarheid te misbruiken heeft een aanvaller eerst toegang tot het bedrijfsnetwerk nodig.

Aanbevolen acties

CERT.be raadt aan om alle laatste updates voor de betreffende Windows-versies te installeren, deze zijn te vinden op de officiële Microsoft Portal.