Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Chyba jako prase
listopad 13
Chyba jako prase

Aktualizujtééééé. KB2992611. Jak jsem už vpravo v rychlovkách psal včera, vyšla úplně extrémně důležitá aktualizace (CVE tady) na TLS (a SSL samozřejmě, i když SSL je roky přešlá mrtvola) knihovnu SChannel, která je ve všech Windows a používá se úplně na všechny TLS komunikace.

Zaslouží si to pozornost, protože:

  • je to remote code execution. To znamená, že vzdáleně nacpete do počítače kód. MS to nezveřejnil přesně, takže se neví ještě, jak moc kódu se tam dá dostat, ale hackeři jsou schopní vždycky něco vymyslet, aby to nemuselo být moc.
  • je to chyba v serverové části toho TLS protokolu, takže to bude napadat všechny možné servery. TLS se používá na IIS samozřejmě. Ale o hodně hůře také v RDP, Exchange (SMTPS), na Active Directory řadičích domény (ADDS DC - domain controller) pro LDAPS. Dále tuto knihovnu samozřemě využívá i TMG a ISA server. Dneska ADFS a Hyper-V replication. Také VPN v podání SSTP, a IKEv2 a i IPSec pokud se ověřujete pomocí AuthIP, takže i DirectAccess například. Je jedno, jestli to je IPHTTPS, nebo Teredo. Stejně je uvnitř AuthIP a TLS ověření.
  • je to TLS, které se ustavuje vždycky jako první, ještě dříve, než se vůbec někdo pokouší ověřovat. Takže to půjde nejspíš využít anonymně.
  • nemá to žádné workarounds ani mitigation factors. Z toho plyne, že proti tomu nefunguje ani ověřování client TLS certificate. Plyne z toho, že neexistují žádné "best practices", ani jiné Windows zabudované ochrany, které by to zmírnily, nebo úplně zastavily. I kdyby se muselo třeba čekat na nějakého klienta, až se připojí, nebo kdyby útočník musel být MITM (man-in-the-middle), tak by to tam bylo uvedeno, protože to výrazně omezuje prostor k útoku. A uvedeno to tam není!
  • je to problém v DLL knihovně, kterou si všechny ty systémy nahrávají do paměti. Nejde tedy o nějakou konkrétní Windows službu, ale o všechny služby, které tuto knihovnu používají. V tom, co jsem vyjmenoval v podstatě není ani jedna služba, která by na počítači neběžela pod účtem SYSTEM. Útočník tedy spustí kód, který je pánem daného počítače.

Vadí vám, že útok poběží pod účtem počítače? Ano. Uživatel SYSTEM je členem skupiny Administrators a může tedy dělat lokálně cokoliv. Stačí třeba, když do autorun klíče přihodí něco, co si spustíte až se přilásíte. Nebo si sám sobě vykrade hesla z IIS, naplánovaných úloh a služeb.

Samozřejmě, do sítě chodí už jen pod účtem počítače (POCITAC$), což je člen skupiny Users na ostatních strojích. Jenže vzhledem k počtu služeb, které jsou dostupné přes TLS takhle půjde napadnout velká část sítě. A pokud někdo napadne byť jen jediné DC, má celý forest v ruce a nemusí nic dalšího řešit. I když vám přepadnou Exchange, tak jste v pekle. Exchange server může obvykle vytvářet a modifikovat většinu účtů v Active Directory.

A tak to je. Psycho.

Pro úplnost - někdo si to plete s chybou v OleAut32 (MS tady). Což je ale něco jiného a ovlivňuje to "jen" klienta IE.

A teď jedna otázka - nedala to tam v devadesátých letech NSA?

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments