ITanalyze

مایکروسافت در پچ تیوزدیِ[1] ماه آگِست، چندین آسیب‌پذیری را پچ کرد که از بین آن‌ها می‌توان به آسیب‌پذیری CVE-2020-1472 اشاره کرد. برای آسیب‌پذیری پروتکل سرویس نتلوگون[2] سطح وخامت «بسیار مهم» در نظر گرفته شد (امتیاز CVSS آن در بالاترین حد بود: 10.0). هرگز در مورد اینکه این آسیب‌پذیری ممکن است تهدیدی به حساب آید شکی وجود نداشته، اما چند روز پیش تام ترووتِ محقق (کاشف این آسیب‌پذیری) از شرکت Secura گزارشی باجزئیات منتشر کرد که در آن توضیح داده شده بود که چرا این آسیب‌پذیری –معروف به  Zerologon- بسیار خطرناک است و چطور می‌شود برای سرقت کنترل‌کننده‌ی دامنه[3] به کار گرفته شود. در ادامه هر آنچه باید در مورد Zerologon بدانید را شرح داده‌ایم. با ما همراه بمانید.

همه‌چیز در مورد Zerologon
CVE-2020-1472 در اصل نتیجه‌ی نقصی در برنامه‌ی احراز هویت کریپتوگرافیک Netlogon Remote Protocol است. این پروتکل، کارش احراز هویت کاربران و دستگاه‌ها در شبکه‌های مبتنی بر دامنه است و همچنین برای آپدیت ریموت رمزعبورهای کامپیوتر نیز از آن استفاده می‌شود. مهاجم از طریق این آسیب‌پذیری می‌تواند کامپیوتر کلاینت را جعل ورمزعبور یک کنترل‌کننده دامنه را (سروری که کل شبکه را کنترل نموده و  Active Directory services را اجرا می‌کند) تغییر دهد؛ که همین به مهاجم اجازه می‌دهد حقوق ادمین دامنه را دریافت کند.

چه کسی آسیب‌پذیر است؟
CVE-2020-1472 برای شرکت‌هایی خطر محسوب می‌شود که شبکه‌هایشان مبتنی بر کنترل‌کننده‌های دامنه‌ تحت ویندوزی است. به طور خاص، مجرمان سایبری می‌توانند بر اساس هر نسخه ویندوز سرور 2019 یا ویندوز سرور 2016 و نیز هر نسخه ویندوز سرور 1909، ویندوز سرور 1903، ویندوز سرور 1809 (نسخه‌های Datacenter و Standard)، ویندوز سرور 2012 R2، ویندوز سرور 2012 یا ویندوز سرور 2008  R2 Service Pack 1 یک کنترل‌کننده‌ی دامنه را سرقت کنند. مهاجمین برای حمله ابتدا باید به شبکه سازمانی نفوذ کنند اما خطر اصلی اینجا نیست: مهم حملات داخلی و عمل نفوذ از طریق خروجی‌های اترنت در سازمان‌هایی است که به طور عموم قابل‌دسترسی‌اند.
خوشبختانه، Zerologon هنوز در حمله‌ای واقعی به کار نرفته است (یا دست‌کم هنوز گزارشی نیامده است). با این حال، گزارش ترووت کمی معادلات را بهم زد و حالا شاخک‌های مهاجمین بیش از قبل دارد تکان می‌خورد. و اگرچه محققین هنوز اثبات مفهومی[4] را نشر نداده‌اند اما شک ندارند مهاجمین می‌توانند بر اساس همین پچ‌ها یکی عین همان را بسازند.

راهکارهای امنیتی
مایکروسافت اوایل آگست سال جاری برای بستن این آسیب‌پذیری (مخصوص تمامی سیستم‌های آلوده‌شده) پچ‌هایی را ارائه داد؛ بنابراین اگر هنوز آپدیت نکرده‌اید اکنون وقت آن رسیده.
افزون بر این، این شرکت توصیه می‌کند هر تلاشی برای لاگین (از جانب نسخه‌ی آسیب‌پذیر این پروتکل) مورد نظارت قرار گیرد و دستگاه‌هایی که از نسخه‌ی جدید پشتیبانی نمی‌کنند شناسایی شوند. به نقل از مایکروسافت، در حالت ایده‌آل یک کنترل‌کننده دامنه باید در حالتی تنظیم شود که تمامی دستگاه‌ها در آن از نسخه‌ی امن Netlogon استفاده کنند.
این آپدیت‌ها چنین محدودیتی را اعمال نمی‌کنند زیرا Netlogon Remote Protocol نه تنها در ویندوز که در بسیاری از دستگاه‌های مبتنی بر سایر سیستم‌عامل‌ها (که همچنین به همین پروتکل تکیه کرده‌اند) به کار می‌رود. اگر استفاده از آن اجباری شود، دستگاه‌هایی که از نسخه‌ی امن پشتیبانی نمی‌کنند عملکرد درستی از خود نشان نخواهند داد. با این وجود، از 9 فوریه 2021، کنترل‌کننده‌های دامنه ملزم به استفاده از چنین مودی خواهند شد (یعنی همه دستگاه‌ها مجبور به استفاده از Netlogon امن و آپدیت‌شده خواهند شد) و بدین‌ترتیب ادمین‌ها نیز باید مشکل انطباق دستگاه طرف‌سوم را زودتر از موعد مقرر حل کنند (با آپدیت یا افزودن دستی آن‌ها در قالب موارد استثنا).
 
[1] Patch Tuesday، اصطلاحیست غیررسمی که به زمانی اشاره دارد که مایکروسافت به طور دوره‌ای پچ‌های نرم‌افزاری برای محصولات نرم‌افزاری خود ارائه می‌دهد.
[2] سرویسی که برای احرازهویت کردن سیستم ها در شبکه دامین بکار می‌رود
[3]  domain controller
[4] proof of concept
منبع: کسپرسکی آنلاین

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)