Zerologon Exploit

Scroll Down For English

نختصر حوار جديد في الـ Cyber Security بإذن الله، ونأسف على التأخير.
Zerologon Exploit
اتسجل CVE-2020-1472 ..

يُقال إن الثغرة دي بتسمح للـ attacker بالتحكم في Domain Controller والوصول إلى root privileges وبالتالي هو نوع من أنواع Privilege Escalation ..

طيب، إزاي بيتم ؟
الـ exploit دا بيستهدف الـ Domain Controller في الأغلب ..
بالتالي الهجوم ده مش ممكن يحصل إلا لو كان الـ Attecker في نفس نطاق الشبكة الخاصة بالـ Victim ..

المهم، إزاي الثغرة كانت موجودة في Netlogon ؟
أول حاجة Netlogon هو من أهم الـ processes في أنظمة الويندوز ، وبعض المهام الخاصة بيه تشمل :
- تأمين الـ Connection مع الـ Domain Controller ..
- السماح للـ User بعد التأكد من عملية الـ authentication ، بإستخدام Services المسموحه له
- مسؤولة عن تغيير كلمة السر لأي User أو تعديل الـ. Attributes بتاعته ..
- بتساعد الـ DNS لبناء الاتصال مع الدومين على الإنترنت.

طيب، فين الـ Attack ؟
تم اكتشاف ثغرة في نظام الـ encryption اللي كان بيستخدمه وقتها AES-CFB8 ..

CFB8 : Cipher Feedback 8-bit .
باختصار ، المشكلة كانت إن الـ keys كانت بتقبل 8 أصفار في محاولة من 256 محاولة وده كان بيسمح بتخطي الـ authentication ..

بالتالي، المهاجم يقدر يوصل للـ Netlogon الخاص بالـ Domain Controller ويبدأ في تنفيذ أمور زي الـ Malware Injection
بس الثغرة تم تسجيلها كـ Privilege Escalation تحت الـ CVE ..

تم استغلال الثغرة إزاي؟
في الأول، المهاجم بيستخدم DDOS Attack عشان يقدر يدخل الشبكة لو كان خارجها ..
بعد كده بيستغل الثغرة اللي شرحناها وبيعمل اتصال عبر TCP connection مع C2 server باستخدام أدوات Impacket ..

إيه أدوات Impacket ؟
هي أدوات مكتوبة بـ Python بتركز على الوصول للشبكات المستهدفة. منها:
الـ secretsdump.py : اللي بتساعد في الاتصال وسحب البيانات ..
الـ psexec.py & wmiexec.py : اللي بيساعدوا في التنقل داخل الأجهزة المستهدفة (victim host).

وبس كدا !

— — — — — — — — — — — — — — —

Let's summarize a new discussion in Cyber Security, with apologies for the delay.

**Zerologon Exploit**
It was recorded as CVE-2020-1472.

It's said that this vulnerability allows an attacker to take control of a Domain Controller and gain root privileges, making it a form of privilege escalation.

How does it happen?
This exploit mainly targets the Domain Controller, meaning the attack can only occur if the attacker is in the same network as the victim.

How did the vulnerability exist in Netlogon?
First, Netlogon is one of the most important processes in Windows systems, with some of its tasks including:
- Securing the connection with the Domain Controller.
- Allowing users, after successful authentication, to use the services they are permitted to access.
- Responsible for changing or modifying the password or attributes of any user.
- Assisting DNS in building the connection with the domain on the internet.

Where’s the attack?
A vulnerability was found in the encryption system used at that time, which was **AES-CFB8**.

**CFB8** stands for Cipher Feedback 8-bit.
In short, the problem was that the keys accepted 8 zeros in one out of 256 attempts, allowing the attacker to bypass authentication.

As a result, the attacker could access the Netlogon of the Domain Controller and start actions like malware injection. The vulnerability was registered as Privilege Escalation under this CVE.

How was the vulnerability exploited?
First, the attacker uses a DDOS attack to enter the network if they are outside of it. Then, they exploit the vulnerability mentioned, establishing a TCP connection with the C2 server using **Impacket** tools.

What are Impacket tools?
They are tools written in Python that focus on gaining access to targeted networks. Some of these tools include:
- **secretsdump.py**: Helps in connecting and extracting data.
- **psexec.py** and **wmiexec.py**: Help in lateral movement within the targeted devices (victim host).

That's it!