مایکروسافت در ماه آگوست امسال آسیب‌پذیری‌ای با نام ‘zerologon’ با شماره مرجع CVE-2020-1472 را از طریق ارائه وصله امنیتی برطرف کرد. موضوع نصب به موقع وصله‌های امنیتی همواره از اهمیت بالایی در دنیای امنیت برخوردار بوده است. اما زمانی که جزئیات فنی و همچنین PoC مربوط به یک آسیب‌پذیری منتشر می‌شود اهمیت نصب وصله‌های امنیتی چند برابر می‌شود. محققان هفته گذشته علاوه بر جزئیات فنی، PoC مربوط به آسیب‌پذیری ‘zerologon’ را منتشر کردند. از این رو آرمان داده پویان به شما توصیه می‌نماید اگر از ویندوز سرور در شبکه خود استفاده می‌کنید اطمینان حاصل نمایید به‌روزسانی‌های اخیر را نصب کرده‌اید. اهمیت این به روزرسانی تا جایی است که آژانس‌های امنیتی هند، استرلیا و امریکا نیز طی بیانیه‌ای به شرکت‌های دولتی و غیر دولتی اعلام کرده‌اند هر چه سریعتر به روزرسانی‌های ارائه شده از سمت مایکروسافت را نصب نمایند.

این آسیب‌پذیری امتیاز cvss، ده را به خود اختصاص داده و به یک مهاجم امکان کنترل کردن Domain Controller را می‌دهد. مهاجم این کار را از طریق تغییر و یا پاک کردن گذرواژه مربوط به یک حساب کاربری بر روی controller انجام می‌دهد. همچنین او قادر به راه اندازی حمله انکار سرویس خواهد بود. حتی اگر سرور شما به اینترنت متصل نیست باز هم باید نگران باشید زیرا راه اندازی این حمله از درون شبکه نیز به راحتی امکان پذیر است. یک مهاجم نیاز به برقراری یک نشست TCP با DC دارد و این کار را از پشت میز یک کاربر و یا از مکانی مثل اتاق کنفرانس می‌تواند انجام دهدیک مهاجم خارجی نیز پس از نفوذ به شبکه و از طریق دستگاه دیگری می‌تواند ارتباط TCP با DC برقرار کرده و از آسیب‌پذیری zerologon در راستای اهداف مخربش سوءاستفاده نماید.

آسیب‌پذیری ‘Zerologon’ توسط Tom Tervoort از شرکت Secura کشف و گزارش شد. این آسیب‌پذیری به دلیل نقص در رمزنگاری AES-CFB8 در نشست‌های Netlogon به وجود می‌آید و به مهاجمین اجازه می‌دهد تا بتوانند از طریق پروتکل دسترسی از راه دور Netlogon با DC هدف ارتباط برقرار کنند.

با ارسال تعدادی پیغام Netlogon که در آن‌ها فیلدهای مختلفی با صفر پر شده است یک مهاجم بدون نیاز به احراز هویت می‌تواند گذرواژه کامپیوتر DC را که در اکتیو دایرکتوری ذخیره شده است را تغییر دهد. پس از آن مهاجم می‌تواند اطلاعات احراز هویت ادمین دامنه را به دست آورد.

در حال حاضر PoCهای مختلفی برای سوءاستفاده از این آسیب‌پذیری منتشر شده و در دسترس عموم قرار دارند. این موضوع بدین معناست که اگر هر چه سریعتر به روزرسانی‌های ارائه شده از سمت مایکروسافت را نصب نکنید در معرض خطر بزرگی قرار خواهید داشت. در آگوست امسال، مایکروسافت برای برطرف کردن این آسیب‌پذیری برای سرورهای ۲۰۰۸ R2 به بالا به روزرسانی ارائه کرد. اما به گزارش محققان امنیتی به طور متوسط ۶۰ تا ۱۵۰ روز طول می‌کشد تا در یک سازمان وصله‌های امنیتی نصب شوند. این زمان با توجه به اهمیت بالای برخی از این آسیب‌پذیری‌ها بسیار بالا می‌باشد و می‌تواند امنیت مجموعه را به خطر بیندازد. البته باید در نظر داشته باشید حتی بعد از نصب وصله‌های ارائه شده خطر کاملا برطرف نشده است. مایکروسافت فاز دوم برطرف کردن آسیب‌پذیری ‘Zerologon’ را در فوریه ۲۰۲۱ ارائه خواهد داد. تا آن زمان تمامی دستگاه‌ها باید از کانال‌های امن برای برقراری ارتباط استفاده کنند و اگر این کار را انجام ندهند، اجازه دسترسی به آن‌ها نباید داده شود. اگر هم از دستگاه‌های قدیمی در شبکه استفاده می‌کنید که این قابلیت را ندارند باید به صورت دستی به یک group policy آن‌ها را اضافه کنید. در همین راستا ما استفاده از راهکاری Advanced و Total کسپرسکی را به شما پیشنهاد می‌نماییم. با استفاده از این راهکارها علاوه بر پویش آسیب‌پذیری قادر به مدیریت آن‌ها نیز خواهید بود. با استفاده از این راهکارها می‌توانید دسته‌بندی‌های مختلفی ایجاد کنید و بر روی هر کدام از این دسته‌ها محدودیت اعمال کنید تا دستگاه‌هایی که آسیب‌پذیر هستند نتوانند امنیت مجموعه را به خطر بیندازند.

شما با استفاده از پویشگرهای آسیب‌پذیری می‌توانید از وجود آسیب‌پذیری ‘zerologon’ در سرورهای خود مطمئن شوید. همچنین باید از راهکارهای امنیتی برای تشخیص هر گونه نشانگر حمله IoC در شبکه استفاده کنید. راهکارهایی که وجود هر گونه ترافیک مخرب و یا رفتار غیرعادی در شبکه را تشخیص می‌دهند. سیستم‌های تشخیص و پیشگیری از نفوذ بر روی تجهیزات شبکه و سیستم‌های کاربران باید نصب باشند. لاگ‌ها باید جمع آوری شوند و در یک SIEM مجتمع شده و تحلیل شوند. بعد از تحلیل لاگ‌ها باید تیم پاسخگویی رخداد در صورت تشخیص هر گونه نشانگر حمله‌ای اقدامات لازم را انجام دهد. راهکارهایی مانند کاتا کسپرسکی و پاسخگویی به حملات EDR نیز می‌توانند نقش موثری در بالا بردن امنیت و کاهش سطح آسیب‌پذیری ایفا نمایند.

آرمان داده پویان به شما توصیه می‌نماید هر چه سریعتر به روزرسانی‌های ارائه شده از سمت مایکروسافت را نصب نمایید اما همانطور که گفتیم با نصب به روزرسانی‌ها نیز خطر به صورت کامل برطرف نشده و لازم است نسبت بکارگیری راهکارهای امنیتی و توجه به نشانگرهای حمله IoC در شبکه خود حساس باشید.

آرمان داده پویان ارائه دهنده راهکارهای امنیتی برای مشاوره و کسب اطلاعات بیشتر با ما تماس بگیرید