漏洞预警┃国外厂商爆出直接获得域管理员权限的提权漏洞;绿盟UTS综合威胁探针管理员任意登录
国外厂商爆出直接获得域管理员权限的提权漏洞
漏洞信息
近期,国外安全厂商披露了利用NetLogon组件的权限提升漏洞(CVE-2020-1472)的技术分析文章和验证脚本。实际上此漏洞已在8月份发布安全公告披露过,CVSS评分10分,漏洞利用后果严重,未经身份认证的攻击者可通过使用MS-NRPC连接域控制器,攻击者可以控制此过程中的AES 初始向量利用此漏洞。成功利用此漏洞的攻击者可获得域管理员访问权限。
漏洞分析
Netlogon远程协议是一个可用的RPC接口,在Windows域控制器上。用于各种任务与用户和机器身份验证有关,最常见的是支撑用户使用NTLM登录服务器协议。其他功能包括维护计算机和域控制器之间的安全通道,对用户和服务进行身份验证。它将用户的凭据传递给域控制器,然后返回用户的域安全标识符和用户权限。这通常称为 pass-through 身份验证。该协议的有趣之处在于它不会使用与其他RPC服务相同的身份验证方案。相反,它使用自定义的加密协议让客户端(加入域的计算机)和服务器(域管理员)互相证明他们都知道共享秘钥。
此共享秘钥是客户端计算机当前用户的密码哈希值。由于技术限制不能使用标准用户身份验证方案,例如NTLM或Kerberos。具体的登录流程如下:
其中encrypt所使用的的具体算法是CFB模式的AES。为了能够加密一个的初始字节消息,必须指定初始化向量(IV)引导加密过程。该IV值必须是唯一的,并为每个单独生成用相同密钥加密的明文。但是,ComputeNetlogonCredential函数定义了该IV是固定的,应始终包含16零字节。这违反了安全使用AESCFB8的要求:研究员尝试进行选择明文攻击并发现了漏洞对于256个密钥中的1个,将AES-CFB加密应用于全零纯文本将导致全零密文。
这大大的减少了破解的难度,最理想的情况即是256次就一定能完成碰撞。因此Client challenge设置全0后,客户端凭据(8字节)通过验证的概率就从1/2^64提高到了1/256。于是攻击者可以通过爆破的方法完成了域认证的过程。
绿盟UTS综合威胁探针管理员任意登录
漏洞信息
近期,伴随着大型攻防演练活动的重启,即深信服后,再次出现针对安全产品的攻击事件。本次攻击针对的是绿盟UTS综合威胁探针系统,据官网说:UTS是一款集IDS、WAF、威胁情报和全量行为日志于一身,支持对接第三方大数据平台的多功能融合探针。可通过输出标准化日志对接态势平台进行统一威胁呈现和回溯分析。
攻击者可以通过简单的修改数据包即可获得用户密码md5值,从而越过认证登录进系统。
影响版本
绿盟综合威胁探针设备版本V2.0R00F02SP02及之前存在此漏洞。
漏洞分析
该漏洞较为简单,是由于服务器直接信任了客户端的输入导致,在进行正常的登录请求后,将响应包中的状态码改为true:
此后,在响应包中,即可得到用户口令的hash:
有趣的是,在登录时,客户端也是向服务器提交md5值,所以并不需要解出明文密码也可进行登录:
本周发生的事件有国外厂商爆出直接获得域管理员权限的提权漏洞与绿盟UTS综合威胁探针管理员任意登录。
1
关于Windows的提权漏洞,危害比较严重,域内用户可直接提升为域管理员用户,且技巧性很强,精巧的利用了AES加密算法的弱点,利用了IV为全0向量,极大程度的提高了爆破效率,最终导致黑客接管域控服务器,由于最近处于攻防演练的关键时期,建议快速安装补丁修补此漏洞,没条件修复漏洞的,可以限制netlogon登录次数来缓解此漏洞。
2
近期对于国内各大安全厂商安全产品的漏洞事件层出不穷,且漏洞利用条件都相对简单,这为安全从业者敲响了警钟,本该保护资产安全的设备却成为黑客攻击的对象,以本漏洞为例,简单的修改数据包中布尔值,即可得到管理员口令hash,进而直接登录进入系统。且这类安全产品一般信息丰富,可进行大量敏感操作,危害相对严重。
- 用户评论