CDIC 2023

เผยช่องโหว่ร้ายแรง 10/10 ‘Zerologon’ ในแพตช์ Microsoft เดือนสิงหาคม แนะผู้ใช้อย่าพลาดอัปเดต

ในเดือนสิงหาคมที่ผ่านมามีแพตช์อยู่หนึ่งรายการที่วันนี้ Secura บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจากเนเธอแลนด์ได้เปิดเผยรายงานว่าเป็นช่องโหว่ยกระดับสิทธิ์ที่อันตรายสุดๆ ในโปรโตคอล Netlogon ซึ่งคนร้ายสามารถใช้เพื่อเข้ายึด AD Domain ในเครื่อง Domain Controller ได้ ที่เหมาะแก่การยกระดับการโจมตีให้คนร้ายแรนซัมแวร์ได้ด้วย

ช่องโหว่ CVE-2020-1472 หรือ Zerologon เป็นจุดอ่อนจากการ implement การเข้ารหัสในโปรโตคอล Netlogon ที่ใช้พิสูจน์ตัวตนใน Domain Controller ด้วยการเข้ารหัส AES-CFB8 โดยข้อจำกัดคือคนร้ายต้องสามารถเข้าถึงเครื่องข่ายใน Local มาได้ก่อน ไม่สามารถโจมตีจากทางไกลได้ แต่ถ้าหากทำได้สำเร็จจะสามารถปฏิบัติการโจมตีเพื่อหวังผลได้ดังนี้

  • ปลอมตัวตนเป็นเครื่องใดๆ ที่พยายามพิสูจน์ตัวตนกับ Domain Controller
  • ปิดฟีเจอร์ด้านความมั่นคงปลอดภัยในกระบวนการพิสูจน์ตัวตนของ Netlogon
  • เปลี่ยนรหัสผ่าน AD บน Domain Controller 

ไอเดียของชื่อ Zerologon คือการเติมอักขระ ‘0’ ในพารามิเตอร์ของการพิสูจน์ตัวตนกับ Netlogon ตามภาพด้านล่าง ทั้งนี้กระบวนการโจมตีใช้เวลาเพียงไม่กี่วินาทีเท่านั้น และแม้ว่านักวิจัยจะไม่ยอมเปิดเผยถึงโค้ดการใช้งานแต่ล่าสุดก็เริ่มมีโค้ดปล่อยออกมากันแล้วนะครับ ดังนั้นผู้ดูแลอย่าพลาดอัปเดตแพตช์นี้ด่วนเพราะอาจเป็นเครื่องมือให้กับคนปล่อยแรนซัมแวร์ได้เป็นอย่างดี

เครดิต : Secura

อย่างไรก็ดีแพตช์ที่ทาง Microsoft ปล่อยออกมานั้นเป็นเพียงขั้นแรกเท่านั้น ซึ่งตัวสมบูรณ์ต้องรอกันถึงกุมภาพันธ์ปีหน้าเลยทีเดียว ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่นี่

ที่มา : https://www.zdnet.com/article/zerologon-attack-lets-hackers-take-over-enterprise-networks/ และ https://blog.rapid7.com/2020/09/14/cve-2020-1472-zerologon-critical-privilege-escalation/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco ออกแพตช์อุดช่องโหว่ Zero-day บน IOS ผู้ดูแลระบบควรอัปเดตทันที

Cisco ออกแพตช์อุดช่องโหว่ Zero-day บน IOS และ IOS XE Software ผู้ดูแลระบบควรอัปเดตทันที

AWS ประกาศเปิดให้ใช้งาน Amazon Bedrock บริการ Generative AI แบบ GA แล้ว

Amazon Web Services (AWS) ได้เปิดให้ใช้งาน Amazon Bedrock บริการ Generative AI แบบ General Availability (GA) แล้ว …