Охота на zerologon

Summary

I’ve listed the task required to prepare for the enforcement phase of the Netlogon vulnerability mitigations. I hope this will help to start working towards compliance in your own environment. Below is a summary of the tasks required before deploying the February 2021 security update on your Domain Controllers.

• Deploy the August 2020 update on all Domain Controllers
• Review the new events in the System event log.
• Event ID 5828: Work with the vendor for support to remediate non-compliant 3rd party (non-Windows) trust accounts, or add exclusion to group policy.
• Event ID 5827: Remediate security policy settings for Windows accounts or ensure it is a currently supported Operating System if you confirmed that the security policy setting is compliant.
• Event 5829: Work with vendor for support to remediate non-compliant 3rd party (non-Windows) devices, or add exclusion to Group Policy.
• Group Policy: Domain controller: Allow vulnerable Netlogon secure channel connections
• Enable enforcement using registry key. Only after all non-compliant devices are remediated or exclusions are added to Group Policy.
• Continue working on non-compliant devices that are excluded using the Group Policy. These non-compliant devices leaves the forest vulnerable.

Уязвимости ProxyLogon

2 марта 2021 года Microsoft выпустила обновления безопасности для ряда критических уязвимостей сервера MS Exchange. Обновления также исправили цепочку критических уязвимостей CVE-2021-26857, CVE-2021-26855, CVE-2021-26858, CVE-2021-27065, под общим названием ProxyLogon. После выпуска обновлений безопасности и публикации первых статей об этих уязвимостях по всему миру стали фиксироваться кибератаки с их использованием. Большинство атак были направлены на загрузку основной веб-оболочки на сервер для дальнейшего развития атаки. Хотя американские компании приняли на себя основную атаку, мы также зафиксировали ряд аналогичных атак, направленных на наших клиентов в России и Азии.

Цепочка уязвимостей ProxyLogon

Давайте подробнее рассмотрим цепочку уязвимостей ProxyLogon. Уязвимость CVE-2021-26857 на самом деле не является частью цепочки уязвимостей ProxyLogon, поскольку она приводит к выполнению кода на сервере и не требует предварительного использования других уязвимостей. Уязвимость CVE-2021-26857 связана с небезопасной десериализацией данных в службе единой системы обмена сообщениями. Для использования этой уязвимости требуется установка и настройка роли единой системы обмена сообщениями на сервере Exchange. Поскольку эта роль используется редко, на сегодняшний день не зарегистрировано никаких свидетельств использования этой уязвимости. Вместо этого злоумышленники используют цепочку уязвимостей CVE-2021-26855, CVE-2021-26858 и CVE-2021-27065, которая также позволяет удаленно выполнять произвольный код на почтовом сервере, но с ней проще работать.

ProxyLogon — это название уязвимости CVE-2021-26855 (SSRF), которая позволяет внешнему злоумышленнику обойти механизм аутентификации в MS Exchange и выдать себя за любого пользователя. Создавая запрос на стороне сервера, злоумышленник может отправить произвольный HTTP-запрос, который будет перенаправлен на другую внутреннюю службу от имени учетной записи компьютера почтового сервера. Чтобы воспользоваться этой уязвимостью, злоумышленник должен сформировать специальный запрос POST для статического файла в неавторизованных каталогах для чтения, например, если присутствие файла в каталоге не требуется. Тело запроса POST также будет перенаправлено на службу, указанную в файле cookie, под названием

Например, злоумышленник, использующий ProxyLogon, может выдать себя за администратора и пройти аутентификацию в панели управления Exchange (ECP), а затем перезаписать любой файл в системе с уязвимостями CVE-2021-26858 или CVE-2021-27065.

Наибольший эффект перезаписи файлов достигается за счет создания веб-оболочки в общедоступных каталогах. Чтобы создать веб-оболочку, злоумышленник использует уязвимость во встроенном механизме виртуальных каталогов. При создании нового виртуального каталога (например, для службы автономной адресной книги) злоумышленник может указать в качестве своего внешнего адреса адрес, который включает простую веб-оболочку. Потом этого злоумышленник должен сбросить настройки виртуального каталога и указать путь к файлу на сервере, в который будут сохранены текущие настройки виртуального каталога. После сброса настроек файл, в котором будет сохранена резервная копия виртуального каталога, будет содержать веб-оболочку, указанную на предыдущем шаге.

После использования цепочки уязвимостей злоумышленник может запускать команды через веб-оболочку на сервере Exchange с привилегиями учетной записи, под которой запущен пул приложений на сервере IIS (по умолчанию NT AUTHORITY \ SYSTEM). Чтобы успешно использовать цепочку уязвимостей, злоумышленнику необходимо иметь сетевой доступ через порт 443 к серверу MS Exchange с установленной ролью клиентского доступа и знать имя почтового ящика пользователя с правами администратора.

The New Exploit Method (doesn’t require a password reset)

Dirk-jan Mollema described a new exploit chain in his tweet below (and his blog). This method does not require the reset of the Domain Controller machine account password (and the resulting Active Directory mayhem) , which means that all detection methods relying on the password reset detection will not detect this method.

This attack method relies on a «printer bug» (discovered in 2018 by Lee Christensen). An attacker can use this bug to trigger an authentication (via NTLM) from any machine that has the print spooler service enabled. In short (and with apologies to Dirk-jan and everyone who worked on this attack method), this attack chain goes a little like this:

1. It all starts by using the printer bug to trigger a Domain Controller («Domain Controller 1») to authenticate to an Attacker controlled machine.

2. The Attacker’s machine is running a specialized relay tool called NTLMRelay. This tool receives the triggered auth attempt from Domain Controller 1.

3. The Attacker machine uses the Zerologon vulnerability to establish a netlogon session with another Domain Controller («Domain Controller 2») and then relays the NTLM authentication message from Domain Controller 1 (yes, we need at least two DCs).

4. Domain Controller 2 accepts the Attacker relayed authentication attempt (originally from Domain Controller 1) and sends the Attacker a session key with the privileges of the Domain Controller 1 machine account. This account has special privileges which allow it to carry out common Domain Controller tasks like synchronizing Active Directory LDAP objects between two domain controllers in the same Active Directory domain (usually called Directory Replication).

5. The attacker now uses this session key to initiate a connection to the DRSUAPI (Directory Replication Service) and trigger replication for administrative accounts, which will result in the domain controller sending the Attacker the password hash for the krbtgt account, which enables the attacker to execute a Golden TicketPass-the-Hash attack, thereby giving them unfettered access to Active Directory and member computers.

This is likely not the only attack permutation either. Any protocol accepting NTLM authentication and allowing for privileged access could be a potential target.

Note that the method described in our previous How to Detect Zerologon Attacks article does not only rely on the machine account password reset, but also relies on the noise created during the on average 256 NetrServerAuthenticate calls required to successfully brute force the netlogon authentication.

Discover Zerologon “CVE-2020-1472” Vulnerability

Now that hosts with Zerologon are identified, you want to detect which of these assets have flagged this vulnerability. VMDR automatically detects new vulnerabilities like Zerologon based on the always updated Knowledgebase.

You can see all your impacted hosts for this vulnerability tagged with the ‘Zerologon’ asset tag in the vulnerabilities view by using this QQL query:

OR you could modify your search to :

This will return a list of all impacted hosts.

QID 91668 is available in signature version VULNSIGS-2.4.958-3 and above and can be detected using authenticated scanning or the Qualys Cloud Agent manifest version 2.4.958.3-2 and above.

Along with the QID 91668, Qualys released the following IG QID 45461 to help customers track domain controller assets on which netlogon secure channel mode is enabled. This QID can be detected using authenticated scanning using VULNSIGS-2.4.986-3 and above or the Qualys Cloud Agent manifest version 2.4.986.3-2 and above.

Update October 1, 2020: Qualys released new QID 91680 to add a remote (unauthenticated) check for the Zerologon vulnerability. The update is included in VULNSIGS-2.4.998-3 and later.

Please Note: We have tested the QID across Qualys lab environment on a variety of Windows versions, and we have not observed any issues. In case you experience issues with the remote detection, please reach out to Qualys Support for immediate attention.

Using VMDR, the Zerologon vulnerability can be prioritized for the following real-time threat indicators (RTIs):

• Remote Code Execution
• Privilege Escalation
• Exploit Public
• Active Attack
• Denial of Service
• High Data Loss
• High Lateral Movement
• Predicted High Risk

VMDR also enables you to stay on top of these threats proactively via the ‘live feed’ provided for threat prioritization. With ‘live feed’ updated for all emerging high and medium risks, you can clearly see the impacted hosts against threats.  

Simply click on the impacted assets for the Zerologon threat feed to see the vulnerability and impacted host details. 

With VMDR Dashboard, you can track Zerologon, impacted hosts, their status and overall management in real-time. With trending enabled for dashboard widgets, you can keep track of Zerologon vulnerability trends in your environment using Zerologon Dashboard Link.

Как защитить домен Active Directory от уязвимости ZeroLogon?

Обновления, покрывающие уязвимость Zerologon, были выпущены в августе 2020 года. Чтобы защитить свои серверы, необходимо установить накопительное обновление августа (или более поздней версии) для вашей версии Windows Server на всех контроллерах домена.

Но на самом деле установка этого патча не заканчивается.

Microsoft планирует исправить уязвимость Zerologon в два этапа, что обеспечит относительно плавный переход к безопасному удаленному вызову процедур (RPC) в Netlogon:

1. Первый шаг. Августовский патч – это экстренный патч для контроллеров домена от известного сценария атаки. Но это не полное устранение уязвимости (возможны и другие сценарии атаки контроллера домена через Netlogon). Устаревшие системы, которые не поддерживают новую безопасную версию протокола RPC Netlogon, могут по-прежнему подключаться к контроллеру домена;
2. Вторая фаза. Следующее обновление запланировано на 9 февраля 2021 года. После установки этого обновления все серверы должны отказываться от подключений, выполненных через старую версию протокола Netlogon (однако для устаревших систем вы можете делать исключения с помощью GPO, подробнее об этом ниже).

После установки первого обновления вы можете найти события подключения о небезопасной версии Netlogon RPC в журналах контроллера домена. Кроме того, если у вас больше нет устаревших устройств, вы можете заранее отключить поддержку старой версии Netlogon RPC на контроллере домена, не дожидаясь 2021 года (используя значение реестра FullSecureChannelProtection).

После установки обновлений безопасности журналы контроллера домена начнут регистрировать события подключения к компьютеру с использованием уязвимой версии протокола Netlogon

Обратите внимание на следующие идентификаторы событий из источника NETLOGON в средстве просмотра событий -> Журналы Windows -> Системный журнал:

• Идентификаторы события 5827 и 5828 –

  . Это сообщение указывает на то, что данному компьютеру запрещено подключаться через уязвимую версию протокола Netlogon (до февраля 2021 года это событие носит информационный характер, никаких реальных действий по запрету подключений не предпринимается);

  Вы можете сохранить все события в CSV-файл и проанализировать имена устройств, подключающихся к контроллеру домена, с помощью команды PowerShell:

• EventID 5829 – Затронутое подключение к сети разрешеноEventID 583, 5831 – Подключение с использованием уязвимой версии Netlogon разрешено из-за наличия устройства в политике «Контроллеры домена: разрешить подключения к уязвимому безопасному каналу Netlogon».

К февралю 2021 года на всех обнаруженных устройствах должны быть установлены последние обновления безопасности. В Windows вам просто нужно установить последнее накопительное обновление. На других устройствах, использующих протокол Netlogon Remote Protocol, необходимо запросить обновление у поставщика.

В феврале будет выпущено отдельное обновление безопасности, которое в обязательном порядке переведет контроллер домена в режим, в котором все подключающиеся устройства должны использовать безопасную версию протокола Netlogon. В этом случае устройства, указанные в событии 5829 (они не поддерживают безопасную версию Netlogon), не смогут правильно работать в домене. Эти устройства необходимо будет вручную добавить в исключения GPO

Это означает, что версии Win не поддерживаются: Windows XP / Windows Server 2003 / Vista / 2008 не сможет нормально работать в вашем домене.

В чем суть уязвимости Zerologon

Zerologon — это уязвимость в протоколе шифрования, который использует служба Netlogon. Протокол позволяет компьютерам проходить аутентификацию на контроллере домена и обновлять пароль своего аккаунта в Active Directory. Именно эта особенность делает Zerologon опасной. В частности, уязвимость позволяет атакующему выдать себя за контроллер домена и изменить его пароль. Злоумышленник получает доступ к контроллеру домена c наивысшими привилегиями, а следовательно — и к корпоративной сети. После смены пароля атакующий может использовать учетную запись контроллера домена для развития атаки, например, выполнив атаку DCSync (получение учетных записей Active Directory через механизм репликации).

В сентябре голландский исследователь безопасности Том Тервоорт из компании Secura опубликовал подробное описание уязвимости. Выяснилось, что Zerologon вызвана недостатком в схеме криптографической аутентификации, которую использует Netlogon Remote Protocol (MS-NRPC). Рукопожатие и аутентификация MS-NRPC предполагают использование режима AES-CFB8 (с 8-битным режимом обратной связи по шифротексту). Это вариант блочного шифра AES, который предназначен для работы с блоками входных данных по 8 байт вместо обычных 16 байт (128-бит).

Как обнаружил Тервоорт, применение шифрования AES-CFB8 к состоящему из одних нулей открытому тексту приведет к такому же состоящему из одних нулей зашифрованному тексту. Это происходит из-за ошибки реализации для 1 из 256 ключей.

Обычно клиентский компьютер, который хочет взаимодействовать с сервером Netlogon, таким как контроллер домена Windows, начинает с отправки восьми случайных байтов (то, что часто называют nonce, сокращая фразу number used once) на сервер.

В августе 2020 года в рамках «августовского вторника» Microsoft выпустила исправление уязвимости. Этот патч сделал механизмы безопасности Netlogon (которые отключал Zerologon) обязательными для всех аутентификационных операций, что эффективно предотвращает атаки. Релиз второго патча, полностью закрывающего уязвимость, запланирован на февраль 2021 года.

Почти совершеннолетняя уязвимость

Серверные операционные системы Windows Server корпорации Microsoft в течение 17 лет содержали очень опасную уязвимость SigRed. Известно о ней стало лишь в мае 2020 г., а патч, устраняющий ее, Microsoft выпустила спустя еще два месяца.

SigRed обнаружили специалисты ИБ-компании Check Point. По их словам, брешь была частью всех версий ОС Windows Server, разработанных Microsoft с 2003 по 2019 гг. включительно.

SigRed может использоваться с целью проведения удаленных атак, притом даже автоматизированных, и не требует предварительной аутентификации в системе. Уязвимости был присвоен идентификатор CVE-2020-1350, и она получила максимальные 10 баллов по шкале оценки CVSSv3. Это означает, что для ее эксплуатации злоумышленнику не нужно обладать углубленными техническими знаниями – она очень проста в использовании.

Кто уязвим?

Уязвимость CVE-2020-1472 актуальна для компаний, сети которых построены на базе контроллеров доменов под управлением операционных систем Windows.

В частности, злоумышленники могут захватить контроллер домена на базе:

• всех версий Windows Server 2019, Windows Server 2016;
• всех вариантов Windows Server версии 1909;
• Windows Server версии 1903;
• Windows Server версии 1809 (Datacenter, Standard);
• Windows Server 2012 R2;
• Windows Server 2012;
• Windows Server 2008 R2 Service Pack 1.

Правда, для успешной атаки злоумышленникам сначала необходимо проникнуть в корпоративную сеть, но это не такая большая проблема — мы уже неоднократно слышали и об инсайдерских атаках, и о проникновениях через забытые сетевые розетки в общедоступных помещениях.

К счастью, пока нет информации о том, что уязвимость Zerologon когда-либо использовали в реальных атаках

Однако после публикации исследования в блоге компании Secura вокруг этой проблемы поднялся ажиотаж, который, скорее всего, привлек и внимание злоумышленников. Несмотря на то что исследователи не опубликовали работающий proof of concept, они не сомневаются, что злоумышленники смогут его создать, основываясь на патчах

How to Protect Your Network

1. Patch. Apply the relevant Microsoft patch as quickly as possible! 
2. Proactively close patch gaps. Non-Windows machines are still somewhat unprotected from ZeroLogon. Search your network for non-Windows computer accounts with elevated privileges (e.g. domain replication privileges) as these could be used to launch a successful ZeroLogon attack even on patched domain controllers. (Falcon Zero Trust can provide you with a complete list of privileged accounts.) 
3. If you cannot patch for any reason:

• An attacker exploiting the vulnerability effectively gets privileged access to a domain controller. Using this access, the attacker can harvest credentials and then perform one of the following attacks:
  • Golden Ticket attack
  • Pass-the-Hash attack
  • Silver Ticket attack
• Falcon Zero Trust can prevent these attacks via enforced step-up authentication.

1. To mitigate further damage, ensure you are monitoring your environment against such attacks:

• Enable multi-factor authentication (MFA) for all accounts or at least privileged accounts. In that case, even if a privileged account is compromised, the access attempt would still be denied.
• Monitor for possible exploitation attempts with the open-source tool released by CrowdStrike (formerly Preempt).

Notes for defenders

The original exploit leaves very few traces in the event logs besides a password reset and potentially the DCSync from a non-DC IP. The Spool Service being abused to trigger authentication to the attacker machine can leave traces, example event logs are provided in this repo. Network IOCs are similar to the original Zerologon since this attack also uses the same brute forcing technique. If you don’t have a lab available, I’ve made 2 PCAPs of the exploitation available, one without additional credentials for enumeration and one with credentials. Of course the best remediation is to patch the DC as soon as possible, as bad actors likely won’t care about the risks involved with the original exploit.

Supporting Log Messages of Setting to Deny Examples:

Windows Security vendor message ID 5136

MPE Rule Name            EVID 5136 : Directory Service Obj Modified

Object cn={25b7cac1-79ec-4d12-b66f-c2d79e57cb42},cn=policies,cn=system,DC=bcDonuts,DC=local

Vendor Info      Directory Service Changes

Windows Security vendor message ID 4657

MPE Rule Name            EVID 4657 : Registry Value Modified

Object vulnerablechannelallowlist

Object Name     \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Vendor Info      Registry

LogRhythm Registry Integrity Monitor

MPE Rule Name            MODIFY

Object HKLM\System\CurrentControlSet\Services\Netlogon\Parameters

Object Name     vulnerablechannelallowlist

Subject O:BAG:BAD:(D;;RC;;;BA)

Windows Security vendor message ID 5142

MPE Rule Name            EVID 5142 : Network Share Object Was Added

Object \\*\NETLOGON

Object Name     C:\Windows\SYSVOL\sysvol\bcDonuts.local\SCRIPTS

Protecting Active Directory Domain Controllers from ZeroLogon

The updates fixing Zerologon vulnerability were released in August 2020. To protect your Active Directory, you must install the August cumulative update (or a later one) for your Windows Server version on all domain controllers.

Actually, the patch is a temporary fix.

Microsoft is going to fix Zerologon in two stages that allow to provide smooth transition to secure Remote Procedure Call (RPC) in Netlogon:

• The first (deployment) phase. The August patch is an emergency fix to protect domain controllers from the known attack scenario. But this update doesn’t completely fix the vulnerability (other scenarios to attack DCs through Netlogon are also possible). Legacy systems that don’t support the new secure version of RPC protocol for Netlogon can still connect to a domain controller.
• The second (enforcement) phase. The next update will be released on February 9, 2021. After you install this update, all domain controllers will reject connections that are using the old Netlogon protocol (however, you may set exclusions for legacy devices using GPO, we will show how to do it below).

After installing the first patch, you can find device connection events that use the insecure version of Netlogon RPC in the domain controller logs. Also, if you don’t have legacy devices in your network, you can disable support for the old Netlogon RPC version on your domain controllers, without waiting 2021 (using the FullSecureChannelProtection registry parameter).

After you install a security update, the events of connecting computers using a vulnerable Netlogon version will be registered in the domain controller logs. You should pay attention to the following EventIDs from NETLOGON in Event Viewer -> Windows Logs -> System:

EventID 5827 and 5828 — The Netlogon service denied a vulnerable Netlogon secure channel connection from a computer account. This message means that the connection of this computer using a vulnerable Netlogon version is denied (it is a reference message till February 2021, no real actions are taken to block the connection).
You can save all events to a CSV file and analyze the names of the devices trying to connect to a DC. Use the following PowerShell command: Get-EventLog -LogName System -InstanceId 5827 -Source NETLOGON|Select-Object message| Export-Csv c:\ps\5827.csv -Encoding utf8

• EventID 5829 — a connection using a vulnerable Netlogon version is allowed;
• EventID 583, 5831 — a connection using a vulnerable Netlogon version is allowed because the device is added to the policy “Domain controller: Allow vulnerable Netlogon secure channel connections”.

Till February 2021, you must install the latest security updates on all detected devices. In Windows, it is enough to install the latest cumulative update. Ask your device/software vendors (OEM) for updates for all other devices that use the Netlogon Remote Protocol to connect to Active Directory.

A special security update will be released in February that will put domain controllers in a mode where all connecting devices must use the secure version of the Netlogon protocol. At the same time, the devices specified in the Event 5829 (which don’t support the secure Netlogon version) won’t be able to connect domain. You will have to add these devices to GPO exclusions manually.

It means that no longer supported Windows versions (Windows XP/ Windows Server 2003/Vista/2008) won’t able to work normally in your AD domain.

Exploitation

The following assumptions will be made:

• Our domain controller has the hostname dc01.acmetestlab.local
• Our domain controller has the IP address, 172.16.0.3

Adjust your commands accordingly.

It’s important to follow the command format verbatim. Attempt to execute the exploitation process as quickly as possible to prevent issues caused by a desync between the local and domain password of the domain controller.

1. Run the command below to exploit the vulnerability.

   Successful exploitation should look like this:

   This process may take longer than you expect. Be patient.

2. Run the following command to quickly perform a secretsdump using a null password to extract the machine password for your domain target

   Successful exploitation should look like this:

   This data includes all local administrator accounts and other domain accounts from your target domain controller.

3. Take the local administrator hash you just extracted and execute the previous command in the context of the new Administrator.

   Alternatively, you can use a known DA account to use.

   Once you have performed the second secretsdump, there will be a line that contains the string $MACHINE.ACC:plain_password_hex:. This is the hash you need to grab and reinstitute as the local machine password for your target domain controller.

   The output from this command should look like this:

4. Once you have the DC machine account, set the machine password back to its original value. Run the command below, substituting the -hexpass value with your equivalent of the value highlighted in red above. Ensure that you use the line containing «plain_password_hex».

   The output from this command should look like this:

Solution & Action Required

Microsoft has released a patch today to protect Active Directory Domain Controllers and other Windows devices. However, Microsoft plans to release additional patches in Q1 2021 which will enforce secure Remote Procedure Call (RPC) with Netlogon to fully address this bug. Organizations will need to make changes to their Active Directory domain controllers before Q1 2021 to avoid having devices within their environment denied access. If any domain controllers within an Active Directory forest are not properly configured after the Q1 2021 patch is deployed, communication between domains may fail.

In order to fully mitigate this issue, Microsoft is leveraging a phased approach:

• August 11th, 2020: Microsoft released KB4565351 which includes patches to protect Domain Controllers and Windows devices from the exploitation of this vulnerability.
• Q1 2021: Domain Controllers will be placed in enforcement mode, which will require all Windows and non-Windows devices to use secure Remote Procedure Call (RPC) with Netlogon secure channel. Organizations can also explicitly allow a subset of Active Directory accounts to be used for any non-compliant devices.

Phase 1: August 11th, 2020 (This release)

The patches released by Microsoft today take the following actions to protect Windows Domain Controllers servers, and, workstations:

• Enforces secure RPC usage for machine accounts on Windows-based devices.
• Enforces secure RPC usage for trust accounts.
• Enforces secure RPC usage for all Windows and non-Windows DCs.
• Includes a new group policy to allow non-compliant device accounts

• Adds a FullSecureChannelProtection registry key to enable DC enforcement mode for all machine accounts

Includes new windows log events when accounts are denied or would be denied in the DC enforcement mode.

Response by Patching and Remediation

VMDR rapidly remediates the Windows hosts by deploying the most relevant and applicable per-technology version patches. You can simply select “qid: 91668” in the Patch Catalog and filter on the “Missing” patches to identify and deploy the applicable, available patches in one go for hosts grouped together by a tag – Zerologon. 

For proactive, continuous patching, you can create a job without a Patch Window to ensure all hosts will continue to receive the required patches as new patches become available for emerging vulnerabilities.

Users are encouraged to apply patches as soon as possible.