2020년 8월, Microsoft는 Active Directory의 중요한 Windows Server 취약점을 수정하기 위한 업데이트를 발표했습니다. — CVE-2020-1472 (Zerologon으로 더 알려져 있음) ) . 이 업데이트는 4개월 전에 모든 도메인 컨트롤러에 성공적으로 설치되었습니다. 그러나 모든 Windows 관리자가 DC에 업데이트를 설치하는 것이 이야기의 끝이 아니라는 것을 알고 있는 것은 아닙니다. 이 기사에서는 Zerologon 취약점, 이 취약점으로부터 AD 도메인 컨트롤러를 보호하는 방법, 2021년 2월에 또 다른 Zerologon 업데이트가 출시되는 이유, Windows Server 관리자가 이 모든 문제를 해결하기 위해 해야 할 일에 대해 설명합니다.
ZeroLogon:Windows Netlogon 취약점 CVE-2020-1472
모든 Windows Server 버전(2008 R2, 2012, 2016, 2019)의 Active Directory에 있는 치명적인 취약점 CVE-2020-1472로 인해 인증되지 않은 사용자가 원격으로 도메인 관리자 권한을 얻을 수 있습니다. MS-NRPC(Netlogon Remote Protocol)의 AES-CFB8 암호화 프로토콜 구현 버그로 인해 , 네트워크를 통해 도메인 컨트롤러에 액세스할 수 있는 공격자는 권한을 상승시키고 AD에서 도메인 컨트롤러 계정 암호를 변경할 수 있습니다. 그런 다음 공격자는 SYSTEM 권한으로 DC에서 인증하고 Active Directory를 완전히 제어할 수 있습니다(도메인 관리자 암호 재설정 또는 AD에서 다른 작업 수행).
Netlogon 프로토콜은 AD 도메인 네트워크에서 사용자와 컴퓨터를 인증하는 데 사용됩니다. Netlogon은 Active Directory 도메인의 컴퓨터 계정 암호를 원격으로 업데이트하는 데에도 사용됩니다.
Zerologon 취약점을 구현하기 위해 공격자는 Netlogon을 통해 연결을 설정해야 합니다(다음 포트가 사용됨:RPC 로케이터 TCP/135, RPC 동적 포트 범위 및 TCP/445를 통한 SMB 프로토콜). 0 Netlogon 취약점을 통해 합법적인 도메인 컴퓨터를 가장할 수 있으며 권한을 상승시킨 후 DC 계정 암호를 변경할 수 있습니다.
최대 CVSS 등급(10 10점)이 취약점에 주어졌습니다.
모든 Windows Server 버전이 영향을 받습니다.
- 윈도우 서버 2019, 윈도우 서버 2016;
- 윈도우 서버 2004, 1909, 1903;
- 윈도우 서버 2012 R2/2012;
- Windows Server 2008 R2 SP 1.
현재 몇 가지 Zerologon 공개 익스플로잇이 작동하고 있습니다(또한 zerologon 모듈이 mimikatz에 추가되었습니다).
DC에서 Zerologon 취약점을 테스트하는 Python 스크립트가 있습니다:https://github.com/SecuraBV/CVE-2020-1472.
Zerologon에 대한 Windows 서버 업데이트
Microsoft는 더 이상 Windows Server 2008 R2를 지원하지 않으므로 이 OS 버전에 대해 공개적으로 사용 가능한 버그 수정이 없습니다. 그러나 확장 보안 업데이트(ESU)를 구입한 경우 1년 구독, WS2008R2용 4571729 업데이트를 다운로드하여 설치할 수 있습니다.
Windows Server 2008 R2용 비공식 Zerologon 패치가 있습니다 — 0patch (https://blog.0patch.com/2020/09/micropatch-for-zerologon-perfect.html). 당신은 당신의 위험에 그것을 사용할 수 있습니다.다른 Windows Server 버전에는 Windows Update, WSUS에서 사용할 수 있는 업데이트가 있거나 Microsoft 업데이트 카탈로그에서 수동으로 업데이트를 다운로드하고 MSU 업데이트 파일을 수동으로 설치할 수 있습니다.
- Windows Server 2019(KB4565349), Windows Server 2016(KB571694),
- Windows Server 2004(4566782), 1909(KB4565351), 1903(KB4565351),
- Windows Server 2012 R2(KB4571723), Windows Server 2012(KB4571702).
ZeroLogon으로부터 Active Directory 도메인 컨트롤러 보호
Zerologon 취약점을 수정하는 업데이트가 2020년 8월에 릴리스되었습니다. Active Directory를 보호하려면 모든 도메인 컨트롤러에 Windows Server 버전용 8월 누적 업데이트(또는 그 이후 버전)를 설치해야 합니다.
사실 패치는 임시 수정 사항입니다.
Microsoft는 Netlogon에서 보안 RPC(원격 프로시저 호출)로 원활하게 전환할 수 있도록 2단계로 Zerologon을 수정할 예정입니다.
- 첫 번째(배포) 단계. 8월 패치는 알려진 공격 시나리오로부터 도메인 컨트롤러를 보호하기 위한 긴급 수정 사항입니다. 그러나 이 업데이트는 취약점을 완전히 수정하지 않습니다(Netlogon을 통해 DC를 공격하는 다른 시나리오도 가능함). Netlogon용 RPC 프로토콜의 새로운 보안 버전을 지원하지 않는 레거시 시스템은 여전히 도메인 컨트롤러에 연결할 수 있습니다.
- 두 번째(시행) 단계 . 다음 업데이트는 2021년 2월 9일에 릴리스됩니다. 이 업데이트를 설치하면 모든 도메인 컨트롤러가 이전 Netlogon 프로토콜을 사용하는 연결을 거부합니다(그러나 GPO를 사용하여 레거시 장치에 대한 제외를 설정할 수 있습니다. 아래).
첫 번째 패치를 설치한 후 도메인 컨트롤러 로그에서 안전하지 않은 버전의 Netlogon RPC를 사용하는 장치 연결 이벤트를 찾을 수 있습니다. 또한 네트워크에 레거시 장치가 없는 경우 2021년을 기다리지 않고 도메인 컨트롤러에서 이전 Netlogon RPC 버전에 대한 지원을 비활성화할 수 있습니다(FullSecureChannelProtection 레지스트리 매개변수).
보안 업데이트를 설치한 후 취약한 Netlogon 버전을 사용하여 컴퓨터를 연결하는 이벤트는 도메인 컨트롤러 로그에 등록됩니다. NETLOGON의 다음 EventID에 주의해야 합니다. 이벤트 뷰어 -> Windows 로그 -> 시스템:
- EventID 5827 및 5828 — Netlogon 서비스가 컴퓨터 계정에서 취약한 Netlogon 보안 채널 연결을 거부했습니다. 이 메시지는 취약한 Netlogon 버전을 사용하는 이 컴퓨터의 연결이 거부되었음을 의미합니다(2021년 2월까지 참조 메시지이며 연결을 차단하기 위한 실제 조치가 취해지지 않음).
모든 이벤트를 CSV 파일로 저장하고 DC에 연결하려는 장치의 이름을 분석할 수 있습니다. 다음 PowerShell 명령을 사용하십시오. Get-EventLog -LogName System -InstanceId 5827 -Source NETLOGON|Select-Object message| Export-Csv c:\ps\5827.csv -Encoding utf8
- 이벤트 ID 5829 — 취약한 Netlogon 버전을 사용한 연결이 허용됩니다.
- 이벤트 ID 583, 5831 — "도메인 컨트롤러:취약한 Netlogon 보안 채널 연결 허용" 정책에 장치가 추가되어 취약한 Netlogon 버전을 사용한 연결이 허용됩니다.
2021년 2월까지 탐지된 모든 장치에 최신 보안 업데이트를 설치해야 합니다. Windows에서는 최신 누적 업데이트를 설치하는 것으로 충분합니다. Netlogon 원격 프로토콜을 사용하여 Active Directory에 연결하는 다른 모든 장치에 대한 업데이트는 장치/소프트웨어 공급업체(OEM)에 문의하십시오.
도메인 컨트롤러를 모든 연결 장치가 Netlogon 프로토콜의 보안 버전을 사용해야 하는 모드로 전환하는 특별 보안 업데이트가 2월에 출시될 예정입니다. 동시에 이벤트 5829에 지정된 장치(보안 Netlogon 버전을 지원하지 않음)는 도메인에 연결할 수 없습니다. 이러한 장치를 GPO 제외에 수동으로 추가해야 합니다.
더 이상 지원되지 않는 Windows 버전(Windows XP/Windows Server 2003/Vista/2008)은 AD 도메인에서 정상적으로 작동할 수 없습니다.Zerologon에 대한 그룹 정책
네트워크에 안전하지 않은 Netlogon 버전만 지원하는 장치가 남아 있지 않은 경우 별도의 GPO를 만들어 DC가 2021년 2월 9일 이전에 보안 Netlogon 버전을 사용하도록 할 수 있습니다(연결을 거부하는 두 번째 단계 업데이트가 릴리스될 때 안전하지 않은 Netlogon 버전 사용). 이를 수행하려면 GPO를 사용하여 다음 레지스트리 키를 모든 DC에 배포합니다.
- 레지스트리 키:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters - 매개변수 유형:
DWORD - 매개변수 이름:
FullSecureChannelProtection
가능한 값:
- 1 — 시행 모드를 활성화합니다. DC는 취약한 버전의 Netlogon을 통한 연결을 거부합니다. 매개변수는 "도메인 컨트롤러:취약한 Netlogon 보안 채널 연결 허용" 정책에 추가된 계정에는 영향을 미치지 않습니다(아래 참조).
- 0 – DC가 Windows가 아닌 취약한 Netlogon 버전을 사용하여 연결을 수락하도록 허용합니다. 기기(이 옵션은 시행 단계 릴리스에서 더 이상 사용되지 않음).
<강한> 
Windows가 아닌 장치가 Netlogon을 사용하여 DC에 연결하도록 허용하는 방법
특정 장치/계정이 취약한 Netlogon 버전을 사용하여 DC에 연결할 수 있도록 하는 특수 매개변수가 GPO에 나타났습니다. 정책은 도메인 컨트롤러:취약한 Netlogon 보안 채널 연결 허용이라고 합니다. 컴퓨터 구성 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 보안 옵션에서 찾을 수 있습니다.
AD에서 보안 그룹을 생성하고 보안 그룹에 필요한 계정/장치를 추가해야 합니다. 레거시 Netlogon RPC를 사용하여 도메인 컨트롤러와 보안 채널을 설정할 수 있습니다.
기본 도메인 컨트롤러 정책 수준에서 DC에 대한 정책을 활성화하고 보안 정의를 클릭합니다. 그리고 안전하지 않은 Netlogon 프로토콜을 사용하도록 허용된 그룹을 지정합니다(취약한 연결 만들기 -> 허용 ). 