Americké ministerstvo vnútra vydalo v piatok 18. septembra mimoriadne nariadenie na odstránenie bezpečnostnej diery v systéme Windows s názvom Zerologon, skrz ktorú bolo potenciálne možné získať citlivé informácie z prostredia štátnej správy.
Podľa Úradu pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) predstavuje toto oslabené zabezpečenie „neprijateľné riziko pre americkú vládu a vyžaduje okamžitú a pohotovú reakciu“.
Napriek tomu, že nariadenie sa vzťahuje iba na výkonné vládne úrady, CISA odporučila jeho aplikovanie aj na ostatné federálne a štátne agentúry či súkromný sektor.
Konečný termín na aktualizáciu vládnych systémov a prijatie adekvátnych opatrení za účelom posilnenia zabezpečenia bol stanovený na pondelok 21. septembra. Radiče domén, ktoré a nepodarilo aktualizovať do tohto termínu majú byť zo siete úplne vyradené.
Úrady museli takisto zaistiť adekvátnu technickú a riadiacu kontrolu, ktorá zabezpečuje aktualizácie novo poskytnutých alebo novo zapojených serverov pred ich zaradením do vládnej siete. Do polnoci 23. septembra musia technici vypracovať finálny report tohto procesu doručiť ho ministerstvu vnútra.
Ignorovaná aktualizácia
Microsoft problém zabezpečenia už istú dobu evidoval a v auguste zverejnil bezpečnostnú aktualizáciu časti chybného systému CVE-2020-1472. Nová verzia zaviedla pre prístup k údajom na serveri novú, bezpečnú funkciu.
Napriek zverejneným opatreniam bola začiatkom septembra situácia u väčšiny systémov nevyriešená a zariadenia tak boli naďalej vystavované potenciálnej hrozbe. Tento stav získal pozornosť americkej vlády, ktorá následne začala naliehať na zvýšenie pozornosti zainteresovaných subjektov.
Yeah, I can confirm that this public exploit for Zerologon (CVE-2020-1472) works. Anybody who has not installed the patch from August’s Patch Tuesday already is going to be in much worse shape than they already were.https://t.co/SWK2hUDOYc https://t.co/0SDFfageQC pic.twitter.com/Lg8auMdtVU
— Will Dormann (@wdormann) September 14, 2020
V prípade bezpečnostnej medzery CVE-2020-1472, nazývanej aj Zerologon, ide o pomerne kritickú hrozbu – podľa holandskej bezpečnostnej spoločnosti Secura umožňuje útočníkovi na akomkoľvek serveri narušiť Windows doménu, a to bez použitia akýchkoľvek prihlasovacích údajov užívateľa.
Závažnosť situácie podčiarkuje aj fakt, že samotné vydanie nariadenia o mimoriadnej situácii zo strany ministerstva vnútra je len zriedkavým krokom. „Nevydávame núdzové smernice, pokiaľ sme starostlivo a spoločne neposúdili, že je to potrebné,“ uviedol vo vyhlásení asistent riaditeľa CISA Bryan Ware.
Vzdialená kontrola umožňovala aj zmenu hesla
Zerologon má korene v chybnej kryptografickej schéme protokolu Netlogon, ktorý využívajú radiče domén operačného systému Windows ako súčasť základnej autentifikačnej súčasti služby Active Directory.
Netlogon využíva šifrovanie AES-CFB8, ktoré vyžaduje náhodné zakódovanie každého bajtu textu, pričom protokol daný text kóduje rovnakou sekvenciou.
Bezpečnostná chyba v rámci neho umožnila útočníkom vydávať sa za iné zariadenie – vrátane samotného radiča domény – a získať vzdialený prístup do systému. Útočník tak mohol nadobudnúť práva správcu domény a pozmeniť heslá či iné autentifikačné údaje zariadenia. Stačilo si vybrať za cieľ zariadenie zapojené do lokálnej siete (LAN).
Jana Tuhrinová