Onderzoekers hebben een kwetsbaarheid in Windows ontdekt, waardoor je toegang krijgt tot de Active Directory domain controller. Kortom, je kunt jezelf admin-rechten geven. Hiermee heb je in één keer toegang tot alle machines die zich binnen het netwerk bevinden.
De kwetsbaarheid wordt CVE-2020-1472 genoemd en krijgt de maximale kwetsbaarheidscore. Nu is het wel zo dat een hacker al toegang moet hebben tot het netwerk om van de exploit gebruik te kunnen maken, maar nu meer mensen thuiswerken is dat vaak makkelijker geworden.
Zerologon exploit
Deze exploits maken het mogelijk om ransomware te plaatsen of software die de boel bespioneert. Een hacker heeft makkelijk toegang: hij of zij hoeft alleen te zorgen dat er een goede phishingmail wordt gestuurd en er één medewerker op de foute link klikt. De exploit gemaakt door de onderzoekers van securitybedrijf Secura is Zerologon. Zerologon stelt je in staat om toegang te krijgen tot de Active Directory, waarna er toegang tot de rest van het netwerk is. Er zijn niet eens inloggegevens voor nodig.
De onderzoekers hebben Microsoft inmiddels op de hoogte gesteld van het probleem en geven aan dat ze ervan uitgaan dat Microsoft met een patch komt voor alle servers die gevaar lopen. Zerologon stuurt een aantal nullen in een reeks boodschappen via het Netlogon-protocol. De Windows-servers reageren daarop, want deze zijn er verantwoordelijk voor om systemen toe te laten op het netwerk. De exploit kan worden gebruikt door mensen zonder toegang, om zichzelf dus beheerder te maken, zo schrijft ArsTechnica.
Update augustus 2020
De kwetsbaarheid komt voort uit de Windows-implementatie van AES-CFB8, of het gebruik van het AES-cryptografieprotocol met codefeedback om authenticatieberichten te versleutelen en valideren binnen het interne netwerk. In principe goed, maar de vectoren moeten uniek zijn en willekeurig gegenereerd, iets wat Microsoft over het hoofd heeft gezien. Daar wordt nu misbruik van gemaakt waarmee mensen toegang krijgen tot de admin-rechten. Tenminste, tenzij je de update van augustus 2020 hebt geïnstalleerd, want die zou daar al de oplossing voor bieden.