ในเดือนสิงหาคมที่ผ่านมามีแพตช์อยู่หนึ่งรายการที่วันนี้ Secura บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจากเนเธอแลนด์ได้เปิดเผยรายงานว่าเป็นช่องโหว่ยกระดับสิทธิ์ที่อันตรายสุดๆ ในโปรโตคอล Netlogon ซึ่งคนร้ายสามารถใช้เพื่อเข้ายึด AD Domain ในเครื่อง Domain Controller ได้ ที่เหมาะแก่การยกระดับการโจมตีให้คนร้ายแรนซัมแวร์ได้ด้วย
ช่องโหว่ CVE-2020-1472 หรือ Zerologon เป็นจุดอ่อนจากการ implement การเข้ารหัสในโปรโตคอล Netlogon ที่ใช้พิสูจน์ตัวตนใน Domain Controller ด้วยการเข้ารหัส AES-CFB8 โดยข้อจำกัดคือคนร้ายต้องสามารถเข้าถึงเครื่องข่ายใน Local มาได้ก่อน ไม่สามารถโจมตีจากทางไกลได้ แต่ถ้าหากทำได้สำเร็จจะสามารถปฏิบัติการโจมตีเพื่อหวังผลได้ดังนี้
- ปลอมตัวตนเป็นเครื่องใดๆ ที่พยายามพิสูจน์ตัวตนกับ Domain Controller
- ปิดฟีเจอร์ด้านความมั่นคงปลอดภัยในกระบวนการพิสูจน์ตัวตนของ Netlogon
- เปลี่ยนรหัสผ่าน AD บน Domain Controller
ไอเดียของชื่อ Zerologon คือการเติมอักขระ ‘0’ ในพารามิเตอร์ของการพิสูจน์ตัวตนกับ Netlogon ตามภาพด้านล่าง ทั้งนี้กระบวนการโจมตีใช้เวลาเพียงไม่กี่วินาทีเท่านั้น และแม้ว่านักวิจัยจะไม่ยอมเปิดเผยถึงโค้ดการใช้งานแต่ล่าสุดก็เริ่มมีโค้ดปล่อยออกมากันแล้วนะครับ ดังนั้นผู้ดูแลอย่าพลาดอัปเดตแพตช์นี้ด่วนเพราะอาจเป็นเครื่องมือให้กับคนปล่อยแรนซัมแวร์ได้เป็นอย่างดี

อย่างไรก็ดีแพตช์ที่ทาง Microsoft ปล่อยออกมานั้นเป็นเพียงขั้นแรกเท่านั้น ซึ่งตัวสมบูรณ์ต้องรอกันถึงกุมภาพันธ์ปีหน้าเลยทีเดียว ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่นี่
ที่มา : https://www.zdnet.com/article/zerologon-attack-lets-hackers-take-over-enterprise-networks/ และ https://blog.rapid7.com/2020/09/14/cve-2020-1472-zerologon-critical-privilege-escalation/