Заметки на полях: Bronze Bit Вы уже наверняка слышали об уязв | [MIS]ter & [MIS]sis Team

Заметки на полях: Bronze Bit

Вы уже наверняка слышали об уязвимости Bronze Bit (CVE-2020-17049). В ноябре-декабре про нее рассказывали все паблики. Однако, как выяснилось, не все про нее знаю. Также не все знают, что Microsoft предусмотрел серию патчей, и следующий шаг - в марте. Коротко расскажем про Bronze Bit.

В чем суть уязвимости:

Данная уязвимость - одна из разновидностей, популярной в 2019 году, проблемы делегирования. Только тут немного по-другому. Злоумышленник может выдавать себя за пользователя, которому запрещено делегировать полномочия.

Как это работает:

1. Злоумышленнику необходимо получить хеш пароля учетной записи службы, которая имеет ограниченное делегирование. Пусть это будет СервисА. Понять, где есть ограниченное делегирование можно по параметру msDS-AllowedToDelegateTo - оно не должно быть нулевым.
Пусть служба, к которой имеется ограниченное делегирование будет СервисВ

2. Злоумышленник использует эксплойт и СервисА получает билет для СервисВ

3. Злоумышленник выдает себя за целевого пользователя СервисВ, предоставляет билет и может работать с Сервис2

Зачем сейчас проверять наличие уязвимости, если патч выпущен?
Полный спектр патчей еще не выпущен. Однако, очень важно при пентесте или RedTeam проверить, что у Заказчика стоит первый ручной патч. Потому что болезнь очень многих компаний - забывать про патчи, не читать новости. А с тем, что первый патч в ноябре вызывал проблемы на контроллере домена, которые в дальнейшем Microsoft исправила. Но человеческий фактор и в Африке человеческий фактор - многие могут потом забыть или забить на установку патча или просто побояться, что возникнет сбой, которой просто парализует работу объекта и системный администратор получит выговор. В общем суть такая, что иногда страх перед тем, что все сломается из-за патча гораздо больше, чем страх перед непонятной уязвимостью.
Поэтому очень важно проверить и лишний раз напомнить Заказчику о том, что критически важные патчи надо отслеживать и указать это письменно, в отчетике (как говорится "без бумажки не будет толку")

Что с эксплойтом:

На данный момент в Impacket (https://github.com/SecureAuthCorp/impacket) добавлен функционал для проверки возможности проведения атаки Bronze Bit

Таймлайн выпуска патчей можно найти тут: https://support.microsoft.com/en-us/topic/managing-deployment-of-kerberos-s4u-changes-for-cve-2020-17049-569d60b7-3267-e2b0-7d9b-e46d770332ab

Для тех, кому лень читать:

1 этап патча - 8 декабря 2020 года
2 этап патча - 9 марта 2021 года
3 этап патча (невозможен без 1 этапа) - 11 мая 2021 года