Zerologon (CVE-2020-1472): SentinelOne First to Detect on the Endpoint

Executive Summary

•  有些 endpoint 的 vendor 一直聲稱嚴重性 10/10  CVE 是網路安全問題。 SentinelOne 今天表明這是不正確的，並且可以在端點上檢測到 Zerologon 的利用攻擊。
  

​

• SentinelOne 也是目前唯一能夠準確檢測到被試圖攻擊目標主機的 vendor。 SentinelOne 的平台還能夠將攻擊事件與我們的 Storyline 技術連接在一起。

 

• 從 4.2 SP4 開始，這個關鍵檢測功能就可使用，既有的 SentinelOne 客戶也是可以使用。


• 請見以下的 demo，可以看到 SentinelOne 自主檢測這個關鍵的 server 漏洞。 創新和 vector-agnostic 的技術很重要，這讓我們的客戶領先處於威脅領域。

Zerologon 漏洞介紹

CVE-2020-1472（一般稱之為“ Zerologon”）是當前所有 Microsoft Windows Server 版本（Windows 2008 R2、2012、2016、2019）中的一個嚴重漏洞。 這個提升特權，利用了 Netlogon Remote Protocol（MS-NRPC）中的漏洞，並允許攻擊者可模擬系統，包括網域控制器本身的帳號。

這個漏洞是由 Secura 的資全專家 Tom Tervoort 發現的，漏洞可以讓 remote 的攻擊者偽造 Netlogon 的身份驗證，將 domain 控制器的密碼設置為已知值。 之後，攻擊者可以使用新密碼來接 domain 控制器，更改或添加其他身份驗證憑證，提升特權或橫向移動到 domain 中的其他主機。

之後呢，除了重置 domain 密碼之外，其他研究人員還發現了更多可操作 Zerologon 漏洞的方法，他們還證明了 Zerologon 可竊取所有 domain 密碼的能力。 這樣的發展趨勢，增加了企業將面臨的風險。

而為了成功的攻擊，駭客們必須首先獲得對 domain 控制器或可以遠端相同網路上的設備或直接進入。 有效的憑據或 member 身份，不是成功攻擊的先決條件。自從漏洞被公開以來，在外界以發現了可被利用的代碼，CISA 表示該漏洞構成了 “不可接受的風險”，並需要 “立即採取緊急行動”。

儘管微軟已經發布了 Zerologon 的 initial patch，但這僅僅是第一階段的開始， 他們預計至少要等到 2021 年第一季才能完成。 同時，Microsoft 的建議指出，目前的更新僅保護被支援的 Windows 設備，舊版 Windows 和其他使用 Netlogon MS-NRPC protocol 的 domain controller 來通信的設備還是容易受到損害。
​
除此之外，initial patch 是無法阻止 Zerologon 的攻擊。 相反的，如果沒有使用該 protocal 的設備，它僅是添加 logging 來檢測 non-secure RPC，並添加 registry 設置來停止使用。 而資安團隊面臨的挑戰是，如果僅是禁用，這可能會破壞舊版的應用程式。 因此，即使目前有可用的 patch，但如果公司企業不能禁用 registry 設置，它們仍然容易受到攻擊。

Detecting and Defending Against Abuse of Zerologon

從端點的角度來看，檢測這種攻擊是具有挑戰性，因為在實質上，攻擊者是以類似 “合法用戶/帳號行為”的方式向 domain 進行身份驗證。 另外，主要攻擊媒介是網路級別，而不是通過與主機 filesystem 之間的 interaction。 因此，對於許多傳統的端點安全解決方案而言，直接去解決該漏洞是 “不可行的”。

相比之下，SentinelOne 研究人員採用了 vector agnostic 的方法，這個方法利用了一些獨特的，專有的創新技術，可以在端點上檢測到此漏洞。 我們的 SentinelLabs 研究團隊已在各種可用的 frameworks 上進行了許多測試。 在我們的分析過程中，我們觀察到，這種攻擊雖然成功，但在 domain 控制器上也引起了注意，正是因為該攻擊以多種方式對與 domain 控制器的 communications 間接產生了負面影響。而研究的結果，SentinelOne 平台能夠檢測到針對目標系統的 initial 前、後的攻擊 (事發前，事發後)。 雖然攻擊是從網路開始，但端點已察覺傳入的流量嘗試。

Netlogon Remote Protocol 是用於維護在 domain member 至 domain controller (DC）、 domain DCs 以及跨域 DC 之間的關連。 通過 local 和遠端監視系統內進行的身份驗證嘗試，並將其通過我們的行為 AI 引擎，我們可以將正常的身份驗證及試圖攻擊區分開來。
​
當檢測到可疑活動時，會啟動 in-context 警報，並會在控制台中顯示出。

Interested in Protection from Zerologon?

​這就像對 agent 進行的任何修改一樣，我們開始將此功能部署到選定的客戶，以確保在各種環境中的穩定性。 現在，已部署 4.2 SP4 的既有客戶可以使用這項關鍵檢測。 版本 4.3 和 4.4 將會在即將發布的 Service Pack 更新中包含此檢測功能。 如果您還不是 SentinelOne 客戶，我們歡迎你來了解有關如何保護你企業或在這兒 request free demo 已得到更多信息。

原文