0xNews - 윈도우 서버에서 도메인 컨트롤러 DC 를 손상시키는 취약점 발견
0xNews - 윈도우 서버에서 도메인 컨트롤러 DC 를 손상시키는 취약점 발견
Secura 연구팀 발표
https://www.secura.com/blog/zero-logon
인증되지 않은 공격자가 도메인 컨트롤러 DC Domain Controller 손상시킬 수 있는 취약점 발견
Zerologon 이라고 명명
CVE-2020-1472 지정
이번 취약점은 권한 상승 취약점
Netlogon 세션에 대한 AES-CFBB 암호화를 안전하지 않게 사용함으로써 존재
원격 공격자가 대상 도메인 컨트롤러에 대한 연결을 MS-NRPC Netlogon Remote Protocol 을 통해 설정
이번 공격은 도메인에 가입된 컴퓨터의 신뢰성과 신원을 도메인 컨트롤러에서 확인하는 인증 프로토콜의 취약점을 활용
AES 작동 모드를 잘못 사용하기 때문에 모든 컴퓨터 계정의 신원에 대해 스푸핑 spoof 가능
이는 DC 자체의 암호도 포함
도메인의 해당 계정에 대해 빈 암호를 설정
해당 취약점에 대한 Cynet 연구팀의 추가 설명
https://www.cynet.com/zerologon
이번 취약점은 MS 에서 8월 정기 보안 패치를 통해 처음 존재 공개
하지만 인도, 호주 정부 기관을 포함한 미국 CISA Cybersecurity and Infrastructure Security Agency 에서는 비상 지침 발표와 대응
미국 사이버보안국의 이번 취약점에 대한 비상 지침 발표 링크
https://cyber.dhs.gov/ed/20-04/
다양한 필드가 0 으로 채워진 여러 Netlogon 메시지를 전송
인증되지 않은 공격자가 AD 에 저장된 도메인 컨트롤러의 컴퓨터 암호를 변경 가능
최초 발견한 Secura 에서는 이번 취약점은 다음 가상 시나리오를 통해 악용될 수 있다고 경고
1. 클라이언트 자격 증명 스푸핑 Spoofing the client credential
2. RPC 서명과 봉인 비활성화 Disabling RPC Signing and Sealing
3. 전화 스푸핑 Spoofing a call
4. 컴퓨터의 AD 비밀번호 변경 Changing Computer's AD Password
5. 도메인 관리자 비밀번호 변경 Changing Domain Admin Password
미국 CISA 에서 비상 지침 발표는 미국 연방 행정부 Federal Civilian Executive Branch 에서 허용할 수 없는 위험을 초래할 수 있다고 즉각적이고 긴급한 조치가 필요하다고 판단
취약점을 가지고 있는 도메인 컨트롤러를 업데이트 할 수 없는 경우 네트워크에서 분리 권고
또한 리눅스 Samba v.4.7 이하에서도 Zerologon 취약점 공격 가능
Cynet 연구팀에서는 추가 분석과 함께 취약점 활성 감지에 사용할 수 있는 정보 공개
lsass.exe 메모리의 특정 메모리 패턴과 lsass.exe 간 트래픽의 비정상적인 스파이크 abnormal spike 활용
이와 관련 데모 동영상
현재까지 확인 결과
Windows Event ID 4742 컴퓨터 계정 변경
그 외 Windows Event ID 4672 새 로그온에 할당된 특수 권한
등 이벤트 발생 확인
이번 취약점 공격 감지를 위해 YARA rule 정보 업데이트 배포
https://go.cynet.com/hubfs/rule%20Zerologon.yara
테스트 스크립트 사이트 링크
https://github.com/SecuraBV/CVE-2020-1472
실시간 모니터링 도구 배포
https://go.cynet.com/hubfs/Cynet-Zerologon-Detector.zip
현재 가장 확실한 방법은 MS 패치를 통한 대응
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.