CVE-2020-1472 – Zerologon | Colapso Criptográfico no Protocolo Netlogon

Zerologon (CVE-2020-1472): Colapso Criptográfico no Protocolo Netlogon

Análise Técnica

A vulnerabilidade Zerologon, designada como CVE-2020-1472, representa um estudo de caso crítico sobre como falhas sutis na implementação criptográfica podem levar a consequências catastróficas. A falha reside no protocolo Netlogon Remote Protocol (MS-NRPC), utilizado para a autenticação de contas de máquina e manutenção de relações de confiança entre Controladores de Domínio (DCs). O protocolo utiliza a cifra AES-CFB8 (Advanced Encryption Standard em modo Cipher Feedback de 8 bits) para certas funções de computação de credenciais.

O erro fatal na implementação da Microsoft foi a definição do Vetor de Inicialização (IV) como uma sequência fixa de 16 bytes de zeros para a função ComputeNetlogonCredential, em vez de gerar um IV aleatório para cada transação. No modo CFB8, a segurança depende estritamente da unicidade e aleatoriedade do IV. Quando o IV é fixo em zero e o texto simples de entrada (o desafio do cliente) também é composto inteiramente por zeros, surgem propriedades estatísticas previsíveis no texto cifrado. Especificamente, há uma probabilidade de 1 em 256 de que o texto cifrado resultante também seja zero. Isso permite que um atacante, sem qualquer credencial prévia, envie repetidamente um desafio de cliente zerado (Client Challenge) até que o servidor, ao computar a credencial da sessão com o IV zerado, gere um resultado que valida a autenticação, efetivamente “zerando” o processo de verificação.³

Mapeamento e Exploração com Metasploit

O Metasploit Framework fornece um módulo auxiliar robusto que implementa essa lógica de ataque estatístico, permitindo testar a vulnerabilidade ou explorá-la ativamente para redefinir a senha do DC.

• Módulo: auxiliary/admin/dcerpc/cve_2020_1472_zerologon
• Vetor de Ataque: Rede (RPC sobre TCP/IP).
• Requisitos: Acesso de rede ao Controlador de Domínio; nome NetBIOS do DC alvo.

Cenário de Exploração Detalhado:

No cenário de ataque, o operador do Metasploit posiciona-se na rede interna. O objetivo é comprometer o Controlador de Domínio sem possuir credenciais de domínio.

1. Configuração do Módulo:
   O operador carrega o módulo e define os parâmetros cruciais. O NBNAME (nome NetBIOS) é essencial porque o protocolo Netlogon valida a identidade da máquina com base neste campo durante a negociação do canal seguro.
   Bash
   msf6 > use auxiliary/admin/dcerpc/cve_2020_1472_zerologon
   msf6 auxiliary(cve_2020_1472_zerologon) > set RHOSTS 192.168.10.5
   msf6 auxiliary(cve_2020_1472_zerologon) > set NBNAME DC01
   msf6 auxiliary(cve_2020_1472_zerologon) > set ACTION EXPLOIT
2. Execução do Ataque (Força Bruta Estatística):
   Ao executar o comando run, o módulo inicia um loop de tentativas de autenticação Netlogon (NetrServerReqChallenge seguido de NetrServerAuthenticate3). Em cada tentativa, ele envia um desafio de cliente constituído por 8 bytes de zeros e uma credencial de cliente também zerada. Devido à falha criptográfica, espera-se que em média após 256 tentativas (o que leva apenas alguns segundos em uma rede local), o servidor aceite a autenticação.3
3. Redefinição de Senha e Impacto:
   Uma vez autenticado, o canal seguro é estabelecido, mas sem chaves de sessão válidas (pois o atacante não sabe a senha real da máquina). No entanto, o atacante pode usar a chamada RPC NetrServerPasswordSet2 enviando uma nova senha vazia (ou zerada) para a conta da máquina do DC. O módulo do Metasploit automatiza esse passo, definindo a senha do objeto computador do DC no Active Directory para uma string vazia.
4. Pós-Exploração (DCSync):
   Com a senha da conta de máquina do DC conhecida (vazia), o atacante possui efetivamente os privilégios do DC. O próximo passo lógico não é logar interativamente, mas usar ferramentas como secretsdump (ou módulos internos do Metasploit/Mimikatz) para solicitar a replicação de dados do domínio (DCSync), extraindo o hash NTLM da conta krbtgt e de Administradores do Domínio, resultando no comprometimento total da floresta.5

Remediação e Defesa em Profundidade

A correção do Zerologon exige uma abordagem multifacetada, pois a simples aplicação do patch pode impactar dispositivos legados (como storages NAS ou appliances de segurança antigos) que não implementam o protocolo Netlogon de forma segura.

1. Patching e Fases de Implantação: A Microsoft lançou a correção em fases. A atualização inicial (Agosto de 2020) corrigiu a falha criptográfica no Windows Server, impedindo a aceitação de IVs zerados. A fase final (Fevereiro de 2021) ativou o “Modo de Imposição” (Enforcement Mode) por padrão, rejeitando conexões de canal seguro vulneráveis de qualquer dispositivo, a menos que explicitamente permitido.⁶
2. Monitoramento de Eventos: É crucial monitorar o Event Viewer nos DCs para o Evento ID 5829. Este evento é gerado quando uma conexão vulnerável é permitida apenas porque o modo de imposição ainda não está ativo (durante a fase de transição). A presença deste evento indica dispositivos na rede que precisam de atualização de firmware ou configuração antes da aplicação total do bloqueio.⁷
3. Configuração de GPO: Utilize a política de grupo “Domain controller: Allow vulnerable Netlogon secure channel connections” apenas temporariamente e para dispositivos específicos que não suportam o canal seguro robusto, mantendo o bloqueio para todo o restante do parque.