مهاجمان به تازگی در حال بهره‌جویی (Exploit) از آسیب‌پذیری CVE-2020-1472 معروف به (Zerologon) هستند.
به گزارش معاونت بررسی مرکز افتا، ضعف Zerologon ضعفی از نوع "دسترسی مازاد" (Elevation of Privilege) است و پودمان Microsoft Netlogon Remote ProtoCol – که با عنوان MS-NRPC نیز شناخته می‌شود – از آن تأثیر می‌پذیرد.
Zerologon مهاجم را قادر می‌سازد تا بدون نیاز به اصالت‌سنجی شدن با اتصال در بستر پودمان MS-NRPC خود را به‌عنوان یک دستگاه عضو دامنه از جمله یک سرور Domain Controller – به اختصار DC – معرفی کرده و موفق به دستیابی به سطح دسترسی Domain Admin و در ادامه انجام اعمال مخرب مختلف در سطح دامنه شود.
بر طبق استاندارد CVSS، شدت این آسیب‌پذیری 10 از 10 گزارش شده است.
پیش‌تر شرکت مایکروسافت و برخی سازمان‌های فعال در حوزه امنیت سایبری نیز از مورد بهره‌جویی قرار گرفتن آن توسط مهاجمان هشدار داده بودند.
جزییات آسیب‌پذیری Zerologon به‌طور گسترده در اینترنت قابل دسترس بوده و برخی ابزارهای نفوذ نظیر Mimikatz و Metasploit اکنون مجهز به بهره‌جوی آن شده‌اند (لینک زیر).  مایکروسافت اصلاحیه Zerologon را برای سیستم‌های عامل زیر در ۲۱ مرداد ماه سال جاری به همراه مجموعه اصلاحیه‌های ماه آگوست خود منتشر کرد.
•    Windows Server 2008 R2 for x64-based Systems Service Pack 1
•    Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
•    Windows Server 2012
•    (Windows Server 2012 (Server Core installation
•    Windows Server 2012 R2
•    (Windows Server 2012 R2 (Server Core installation
•    Windows Server 2016
•    (Windows Server 2016 (Server Core installation
•    Windows Server 2019
•    (Windows Server 2019 (Server Core installation
•    (Windows Server, version 1903 (Server Core installation
•    (Windows Server, version 1909 (Server Core installation
•    (Windows Server, version 2004 (Server Core installation
مایکروسافت در اواخر سپتامبر اطلاعات سه نسخه از فایل مخربی با عنوان SharpZeroLogon.exe را منتشر کرده که به گفته این شرکت در جریان حملات مهاجمان به‌منظور بهره‌جویی از Zerologon مورد استفاده قرار گرفته بوده است.
•    b9088bea916e1d2137805edeb0b6a549f876746999fbb1b4890fb66288a59f9d
•    24d425448e4a09e1e1f8daf56a1d893791347d029a7ba32ed8c43e88a2d06439
•    c4a97815d2167df4bdf9bfb8a9351f4ca9a175c3ef7c36993407c766b57c805b
در ادامه نیز اقدام به تکمیل توصیه‌نامه خود کرد و در آن به روش شناسایی ارتباطات ناامن و اقدامات مقاوم‌سازی بیشتر پرداخت.
حملات مبتنی بر Zerologon در حال تکامل بوده و نمونه‌هایی از آن در لینک‌های زیر قابل مطالعه است: مراحل رفع آسیب‌پذیری Zerologon به شرح زیر است:
1) اطمینان از اعمال اصلاحیه‌های ماه آگوست یا بعد از آن به سرورهای DC مطابق با لینک زیر:
https://support.microsoft.com/en-gb/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc#Updates%20section
2) رصد رویدادها با هدف شناسایی دستگاه‌هایی که اقدام به ایجاد ارتباطات آسیب‌پذیر مطابق با لینک زیر: 3) رفع ناسازگاری دستگاه‌هایی که ارتباطات آسیب‌پذیر برقرار می‌کنند مطابق با لینک زیر: 4) فعال‌سازی حالت موسوم به Enforcement Mode مطابق با لینک زیر:
لازم به ذکر است که بر طبق اعلام مایکروسافت، این شرکت در فوریه سال آینده اقدام به عرضه اصلاحیه‌ای خواهد کرد که حالت Enforcement Mode را بر روی تمامی سرورهای DC بدون امکان غیرفعال‌سازی آن فعال کرده و در نتیجه آن تمامی ارتباطات آسیب‌پذیر مسدود خواهد شد. تا قبل از آن لازم است Enforcement Mode که با اعمال تغییر در (Registry) فعال شود.
در مواردی بهره‌جویی از آسیب‌پذیری Zerologon موجب ثبت رویدادهایی بر روی سرور می‌شود. از جمله آنها می‌توان به رویدادهای با شناسه Event ID 4742 – با عنوان A computer account was changed – و Event ID 4672 – با عنوان Special privileges assigned to new logon – اشاره کرد.
اسکریپت زیر نیز از طریق WMI به‌طور بازگشتی (Recursively) اقدام به بررسی سرورهای DC در بستر Forest و استخراج نام DC، سیستم عامل آن و وضعیت نصب KB مرتبط می‌کند: امضاهای منتشر شده برای Zerologon به‌شرح زیر است:
جزییات بیشتر در خصوص Zerologon و اصلاحیه آن در لینک‌های زیر قابل مطالعه است:
 

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.