روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مایکروسافت در پچ تیوزدیِ[1] ماه آگِست، چندین آسیبپذیری را پچ کرد که از بین آنها میتوان به آسیبپذیری CVE-2020-1472 اشاره کرد. برای آسیبپذیری پروتکل سرویس نتلوگون[2] سطح وخامت «بسیار مهم» در نظر گرفته شد (امتیاز CVSS آن در بالاترین حد بود: 10.0). هرگز در مورد اینکه این آسیبپذیری ممکن است تهدیدی به حساب آید شکی وجود نداشته، اما چند روز پیش تام ترووتِ محقق (کاشف این آسیبپذیری) از شرکت Secura گزارشی باجزئیات منتشر کرد که در آن توضیح داده شده بود که چرا این آسیبپذیری –معروف به Zerologon- بسیار خطرناک است و چطور میشود برای سرقت کنترلکنندهی دامنه[3] به کار گرفته شود. در ادامه هر آنچه باید در مورد Zerologon بدانید را شرح دادهایم. با ما همراه بمانید.
همهچیز در مورد Zerologon
CVE-2020-1472 در اصل نتیجهی نقصی در برنامهی احراز هویت کریپتوگرافیک Netlogon Remote Protocol است. این پروتکل، کارش احراز هویت کاربران و دستگاهها در شبکههای مبتنی بر دامنه است و همچنین برای آپدیت ریموت رمزعبورهای کامپیوتر نیز از آن استفاده میشود. مهاجم از طریق این آسیبپذیری میتواند کامپیوتر کلاینت را جعل ورمزعبور یک کنترلکننده دامنه را (سروری که کل شبکه را کنترل نموده و Active Directory services را اجرا میکند) تغییر دهد؛ که همین به مهاجم اجازه میدهد حقوق ادمین دامنه را دریافت کند.
چه کسی آسیبپذیر است؟
CVE-2020-1472 برای شرکتهایی خطر محسوب میشود که شبکههایشان مبتنی بر کنترلکنندههای دامنه تحت ویندوزی است. به طور خاص، مجرمان سایبری میتوانند بر اساس هر نسخه ویندوز سرور 2019 یا ویندوز سرور 2016 و نیز هر نسخه ویندوز سرور 1909، ویندوز سرور 1903، ویندوز سرور 1809 (نسخههای Datacenter و Standard)، ویندوز سرور 2012 R2، ویندوز سرور 2012 یا ویندوز سرور 2008 R2 Service Pack 1 یک کنترلکنندهی دامنه را سرقت کنند. مهاجمین برای حمله ابتدا باید به شبکه سازمانی نفوذ کنند اما خطر اصلی اینجا نیست: مهم حملات داخلی و عمل نفوذ از طریق خروجیهای اترنت در سازمانهایی است که به طور عموم قابلدسترسیاند.
خوشبختانه، Zerologon هنوز در حملهای واقعی به کار نرفته است (یا دستکم هنوز گزارشی نیامده است). با این حال، گزارش ترووت کمی معادلات را بهم زد و حالا شاخکهای مهاجمین بیش از قبل دارد تکان میخورد. و اگرچه محققین هنوز اثبات مفهومی[4] را نشر ندادهاند اما شک ندارند مهاجمین میتوانند بر اساس همین پچها یکی عین همان را بسازند.
راهکارهای امنیتی
مایکروسافت اوایل آگست سال جاری برای بستن این آسیبپذیری (مخصوص تمامی سیستمهای آلودهشده) پچهایی را ارائه داد؛ بنابراین اگر هنوز آپدیت نکردهاید اکنون وقت آن رسیده.
افزون بر این، این شرکت توصیه میکند هر تلاشی برای لاگین (از جانب نسخهی آسیبپذیر این پروتکل) مورد نظارت قرار گیرد و دستگاههایی که از نسخهی جدید پشتیبانی نمیکنند شناسایی شوند. به نقل از مایکروسافت، در حالت ایدهآل یک کنترلکننده دامنه باید در حالتی تنظیم شود که تمامی دستگاهها در آن از نسخهی امن Netlogon استفاده کنند.
این آپدیتها چنین محدودیتی را اعمال نمیکنند زیرا Netlogon Remote Protocol نه تنها در ویندوز که در بسیاری از دستگاههای مبتنی بر سایر سیستمعاملها (که همچنین به همین پروتکل تکیه کردهاند) به کار میرود. اگر استفاده از آن اجباری شود، دستگاههایی که از نسخهی امن پشتیبانی نمیکنند عملکرد درستی از خود نشان نخواهند داد. با این وجود، از 9 فوریه 2021، کنترلکنندههای دامنه ملزم به استفاده از چنین مودی خواهند شد (یعنی همه دستگاهها مجبور به استفاده از Netlogon امن و آپدیتشده خواهند شد) و بدینترتیب ادمینها نیز باید مشکل انطباق دستگاه طرفسوم را زودتر از موعد مقرر حل کنند (با آپدیت یا افزودن دستی آنها در قالب موارد استثنا).
[1] Patch Tuesday، اصطلاحیست غیررسمی که به زمانی اشاره دارد که مایکروسافت به طور دورهای پچهای نرمافزاری برای محصولات نرمافزاری خود ارائه میدهد.
[2] سرویسی که برای احرازهویت کردن سیستم ها در شبکه دامین بکار میرود
[3] domain controller
[4] proof of concept
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
