Black Hat Asia 2023

เผยช่องโหว่ร้ายแรง 10/10 ‘Zerologon’ ในแพตช์ Microsoft เดือนสิงหาคม แนะผู้ใช้อย่าพลาดอัปเดต

ในเดือนสิงหาคมที่ผ่านมามีแพตช์อยู่หนึ่งรายการที่วันนี้ Secura บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจากเนเธอแลนด์ได้เปิดเผยรายงานว่าเป็นช่องโหว่ยกระดับสิทธิ์ที่อันตรายสุดๆ ในโปรโตคอล Netlogon ซึ่งคนร้ายสามารถใช้เพื่อเข้ายึด AD Domain ในเครื่อง Domain Controller ได้ ที่เหมาะแก่การยกระดับการโจมตีให้คนร้ายแรนซัมแวร์ได้ด้วย

ช่องโหว่ CVE-2020-1472 หรือ Zerologon เป็นจุดอ่อนจากการ implement การเข้ารหัสในโปรโตคอล Netlogon ที่ใช้พิสูจน์ตัวตนใน Domain Controller ด้วยการเข้ารหัส AES-CFB8 โดยข้อจำกัดคือคนร้ายต้องสามารถเข้าถึงเครื่องข่ายใน Local มาได้ก่อน ไม่สามารถโจมตีจากทางไกลได้ แต่ถ้าหากทำได้สำเร็จจะสามารถปฏิบัติการโจมตีเพื่อหวังผลได้ดังนี้

  • ปลอมตัวตนเป็นเครื่องใดๆ ที่พยายามพิสูจน์ตัวตนกับ Domain Controller
  • ปิดฟีเจอร์ด้านความมั่นคงปลอดภัยในกระบวนการพิสูจน์ตัวตนของ Netlogon
  • เปลี่ยนรหัสผ่าน AD บน Domain Controller 

ไอเดียของชื่อ Zerologon คือการเติมอักขระ ‘0’ ในพารามิเตอร์ของการพิสูจน์ตัวตนกับ Netlogon ตามภาพด้านล่าง ทั้งนี้กระบวนการโจมตีใช้เวลาเพียงไม่กี่วินาทีเท่านั้น และแม้ว่านักวิจัยจะไม่ยอมเปิดเผยถึงโค้ดการใช้งานแต่ล่าสุดก็เริ่มมีโค้ดปล่อยออกมากันแล้วนะครับ ดังนั้นผู้ดูแลอย่าพลาดอัปเดตแพตช์นี้ด่วนเพราะอาจเป็นเครื่องมือให้กับคนปล่อยแรนซัมแวร์ได้เป็นอย่างดี

เครดิต : Secura

อย่างไรก็ดีแพตช์ที่ทาง Microsoft ปล่อยออกมานั้นเป็นเพียงขั้นแรกเท่านั้น ซึ่งตัวสมบูรณ์ต้องรอกันถึงกุมภาพันธ์ปีหน้าเลยทีเดียว ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่นี่

ที่มา : https://www.zdnet.com/article/zerologon-attack-lets-hackers-take-over-enterprise-networks/ และ https://blog.rapid7.com/2020/09/14/cve-2020-1472-zerologon-critical-privilege-escalation/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

MFEC: พลิกโฉมการจัดการ Infrastructure ตอบโจทย์ Modernize Application ด้วย VMware Tanzu

แนวคิดการยกเครื่องแอปพลิเคชันเดิมสู่บริบทของการทำงานสมัยใหม่หรือที่เรียกว่า Modernization นั้นเริ่มกลายเป็นนโยบายหลักขององค์กร เนื่องจากหลายปีที่ผ่านมาการก้าวเข้ามาของเทคโนโลยี Container นั้นได้สนับสนุนให้แนวคิดนี้ทำได้สะดวกขึ้น อีกทั้งยังช่วยให้แอปพลิเคชันสามารถนำพลังจากเทคโนโลยีคลาวด์มาใช้ได้อย่างเกิดประโยชน์สูงสุด แต่ในความเป็นจริงแล้วผู้ดูแลระบบไอทีขององค์กรกลับกำลังเผชิญกับความท้าทายมากมาย ซึ่ง VMware Tanzu คือแพลตฟอร์มที่จะช่วยให้องค์กรสามารถบรรลุเป้าหมายของการทำ Modernization ประสบความสำเร็จได้ โดยที่ยังรักษาระบบการทำงานแบบเดิม …

บริหารจัดการ Multi-Cloud ครบวงจรอย่างมั่นใจ ด้วย VMware Aria จาก Fujitsu

แม้ Multi-Cloud จะไม่ใช่เรื่องใหม่สำหรับธุรกิจองค์กรแล้วในทุกวันนี้ แต่การบริหารจัดการ Multi-Cloud ให้มีประสิทธิภาพได้อย่างรอบด้านนั้นก็ยังคงเป็นความท้าทายของผู้บริหารฝ่าย IT ในหลายองค์กร เพราะ Cloud แต่ละระบบนั้นต่างก็มีความแตกต่างในเชิงรายละเอียด และยากต่อการรวบรวมข้อมูลการใช้งานมาวิเคราะห์แบบรวมศูนย์