Zerologon: laat uw netwerk niet overnemen!

Elke tweede dinsdag van de maand geeft Microsoft updates uit voor Windows- en Microsoftsoftware. Dit geldt niet alleen voor uw eigen Windowscomputer maar ook voor Windowsservers. Tijdens de laatste updateronde zijn ongeveer 120 kwetsbaarheden opgelost. Dit zijn nieuwgevonden kwetsbaarheden in systemen of oplossingen voor gevonden problemen. Veelal gaat het om kleine kwetsbaarheden, maar af en toe is sprake van een update voor grotere kwetsbaarheden, zoals de kwetsbaarheid ‘Zerologon’ in de meest recente updateronde. Laat uw netwerk niet overnemen door deze kwetsbaarheid.

Eenvoudig verhoogde rechten verkrijgen

De kwetsbaarheid zorgt ervoor dat iedereen met toegang tot een (Windows)bedrijfsnetwerk relatief eenvoudig volledige verhoogde rechten op dat netwerk kan krijgen. Indien verhoogde rechten in verkeerde handen vallen, kan dat grote gevolgen hebben. Voorbeelden zijn dat medewerkers worden buitengesloten van het netwerk of dat apparaten, aanwezig op dat netwerk, kunnen worden afgesloten. Daarnaast kunnen gevoelige documenten worden ingezien. De kwetsbaarheid heeft dan ook de toepasselijke naam ‘Zerologon’ gekregen.

Toegang tot een netwerk krijgen is niet moeilijk

Voor het misbruiken van deze kwetsbaarheid heeft een cybercrimineel slechts toegang nodig tot het netwerk. Toegang tot een netwerk kan simpel worden verkregen. Denk bijvoorbeeld aan verbinding maken met wifi van het netwerk of gebruikmaken van een internetpoort van het bedrijf. Hiervoor dient een kwaadwillende fysiek in de buurt te zijn van het netwerk. Misschien nog wel gevaarlijker is het toegang verkrijgen van afstand. Doordat veel werknemers nu thuiswerken zijn er veel meer mogelijkheden om van afstand verbinding te maken met een netwerk. Denk hierbij bijvoorbeeld aan phishing, medewerkers die via een onveilige internetverbinding werken (in dat leuke koffietentje), of medewerkers die een ingelogde laptop niet in het oog houden.

Waar u in de laatstgenoemde situatie alleen toegang hebt tot de gegevens waar deze gebruiker bij kan, heeft u met de nieuwe Zerologonkwetsbaarheid de mogelijkheid om binnen enkele seconden het hele netwerk over te nemen.

Kwetsbaarheid ‘Zerologon’ verhelpen

Waar normaliter het doorvoeren van de updates van Microsoft voldoende is om dit soort kwetsbaarheden te verhelpen, is dat hier niet het geval. Omdat veel systemen gebruikmaken van de functionaliteit waarin deze kwetsbaarheid is gevonden, kan Microsoft niet garanderen dat deze systemen nog werken na het volledig verhelpen van deze kwetsbaarheid. De update van Microsoft zorgt er in eerste instantie voor dat kan worden geïdentificeerd welke systemen mogelijk problemen gaan ondervinden. Deze systemen dienen eerst goed te worden ingesteld, voordat de laatste aanpassing kan worden gedaan aan het systeem van de server waarna de daadwerkelijke kwetsbaarheid is verholpen.

Vragen?

Heeft u vragen over deze kwetsbaarheid? Of heeft u misschien ondersteuning nodig? Neem dan contact op met onze IT-experts rechtsboven aan deze pagina. Daarnaast zijn wij ook in staat om eventuele andere kwetsbaarheden binnen uw (IT) organisatie in kaart te brengen en op een waardevolle manier te presenteren.


Verdieping

Waarvoor wordt NetLogon gebruikt? Dit wordt in Windows bedrijfsnetwerken gebruikt voor de communicatie tussen de computers die lid zijn van het netwerk en de server die het netwerk beheert. De computers communiceren met de beheerserver om bijvoorbeeld door te geven dat u als gebruiker uw wachtwoord hebt gewijzigd.

Waarin resulteert deze kwetsbaarheid? De kwetsbaarheid maakt het mogelijk om met enkel toegang tot het bedrijfsnetwerk gemakkelijk beheerder te worden van datzelfde netwerk. Als beheerder van een netwerk is daarna alles mogelijk. De toegang voor anderen blokkeren of het versleutelen van bestanden en losgeld eisen. Kortom bedenk wat binnen uw bedrijfsnetwerk gebeurt en de beheerder kan er invloed op uitoefenen. Deze toegang tot een bedrijfsnetwerk kan bijvoorbeeld worden verkregen via een bedrijfswifi-netwerk, een ethernetpoort of door gebruik te maken van een kwetsbaarheid in bijvoorbeeld VPN (wat nu veel wordt gebruikt voor thuiswerken). Het Nationaal Cyber Security Centrum heeft deze kwetsbaarheid dan ook de hoogst mogelijke score gegeven (kans=High, schade=High). De Amerikaanse overheid heeft een waarschuwing  doen uitgaan dat bedrijven voor maandag 21-09 de update gepatcht dienen te hebben.

Wordt dit dan ook daadwerkelijk misbruikt? Ja, afgelopen week is door Secura een zogenaamde Proof Of Concept uitgegeven. Dit laat zien hoe gemakkelijk en snel misbruik kan worden gemaakt van deze kwetsbaarheid. Daarnaast heeft het NCSC aangegeven dat deze kwetsbaarheid actief wordt misbruikt.

Hoe kan ik deze kwetsbaarheid verhelpen? Belangrijk hierbij is om eerst wat meer toelichting te geven over het Remote Protocol. Het RPC kent twee versies, de normale RPC en de secure RPC . Secure RPC is versleuteld, en RPC niet. Om deze kwetsbaarheid te verhelpen is het noodzakelijk dat de domaincontroller enkel nog verzoeken accepteert via secure RPC. Dat is dan ook de inhoud van de uitgebrachte Windowspatch. Het zorgt ervoor dat de domain joined-devices en de domain controller enkel nog communiceren via secure RPC. Het zorgt er echter niet voor dat onbekende apparaten, en niet Windowsapparaten in het netwerk ook enkel nog via secure RPC kunnen communiceren. Denk hierbij aan bijvoorbeeld Linuxservers die bij bedrijven veel worden gebruikt. Deze apparaten kunnen nog steeds via RPC communiceren met de domain controller en via deze weg nog steeds gebruikmaken van de kwetsbaarheid. Om het netwerk helemaal te beveiligen dient u na de doorgevoerde patch goed de logs te bekijken op bepaalde ‘events’ deze kunnen erop wijzen dat een niet-Windowscomputer nog steeds gebruikmaakt van RPC, het is dan zaak dit apparaat zo in te stellen dat enkel gebruik wordt gemaakt van secure RPC.

Heeft u alle apparaten die nog via RPC communiceren met de domain controller geüpdatet? En ervoor gezorgd dat de domain controller enkel nog via secure RPC communiceert? Dan kunt u de laatste aanpassing doorvoeren, namelijk een aanpassing in de ‘registry’ die ervoor zorgt dat de domain controller alléén nog maar communiceert via Secure RPC. Microsoft zal in februari 2021 deze laatste update verplicht doorvoeren.