เผยช่องโหว่ร้ายแรง 10/10 ‘Zerologon’ ในแพตช์ Microsoft เดือนสิงหาคม แนะผู้ใช้อย่าพลาดอัปเดต

ในเดือนสิงหาคมที่ผ่านมามีแพตช์อยู่หนึ่งรายการที่วันนี้ Secura บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจากเนเธอแลนด์ได้เปิดเผยรายงานว่าเป็นช่องโหว่ยกระดับสิทธิ์ที่อันตรายสุดๆ ในโปรโตคอล Netlogon ซึ่งคนร้ายสามารถใช้เพื่อเข้ายึด AD Domain ในเครื่อง Domain Controller ได้ ที่เหมาะแก่การยกระดับการโจมตีให้คนร้ายแรนซัมแวร์ได้ด้วย

ช่องโหว่ CVE-2020-1472 หรือ Zerologon เป็นจุดอ่อนจากการ implement การเข้ารหัสในโปรโตคอล Netlogon ที่ใช้พิสูจน์ตัวตนใน Domain Controller ด้วยการเข้ารหัส AES-CHB8 โดยข้อจำกัดคือคนร้ายต้องสามารถเข้าถึงเครื่องข่ายใน Local มาได้ก่อน ไม่สามารถโจมตีจากทางไกลได้ แต่ถ้าหากทำได้สำเร็จจะสามารถปฏิบัติการโจมตีเพื่อหวังผลได้ดังนี้

  • ปลอมตัวตนเป็นเครื่องใดๆ ที่พยายามพิสูจน์ตัวตนกับ Domain Controller
  • ปิดฟีเจอร์ด้านความมั่นคงปลอดภัยในกระบวนการพิสูจน์ตัวตนของ Netlogon
  • เปลี่ยนรหัสผ่าน AD บน Domain Controller 

ไอเดียของชื่อ Zerologon คือการเติมอักขระ ‘0’ ในพารามิเตอร์ของการพิสูจน์ตัวตนกับ Netlogon ตามภาพด้านล่าง ทั้งนี้กระบวนการโจมตีใช้เวลาเพียงไม่กี่วินาทีเท่านั้น และแม้ว่านักวิจัยจะไม่ยอมเปิดเผยถึงโค้ดการใช้งานแต่ล่าสุดก็เริ่มมีโค้ดปล่อยออกมากันแล้วนะครับ ดังนั้นผู้ดูแลอย่าพลาดอัปเดตแพตช์นี้ด่วนเพราะอาจเป็นเครื่องมือให้กับคนปล่อยแรนซัมแวร์ได้เป็นอย่างดี

เครดิต : Secura

อย่างไรก็ดีแพตช์ที่ทาง Microsoft ปล่อยออกมานั้นเป็นเพียงขั้นแรกเท่านั้น ซึ่งตัวสมบูรณ์ต้องรอกันถึงกุมภาพันธ์ปีหน้าเลยทีเดียว ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่นี่

ที่มา : https://www.zdnet.com/article/zerologon-attack-lets-hackers-take-over-enterprise-networks/ และ https://blog.rapid7.com/2020/09/14/cve-2020-1472-zerologon-critical-privilege-escalation/

from:https://www.techtalkthai.com/maximum-critical-in-ms-august-2020-patch-has-been-published/