آسیب‌پذیری Zerologon، کنترل‌کننده‌های دامنه را تهدید می‌کند

26 شهریور 1399 آسیب‌پذیری Zerologon، کنترل‌کننده‌های دامنه را تهدید می‌کند

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مایکروسافت در پچ تیوزدیِ[1] ماه آگِست، چندین آسیب‌پذیری را پچ کرد که از بین آن‌ها می‌توان به آسیب‌پذیری CVE-2020-1472 اشاره کرد. برای آسیب‌پذیری پروتکل سرویس نتلوگون[2] سطح وخامت «بسیار مهم» در نظر گرفته شد (امتیاز CVSS آن در بالاترین حد بود: 10.0). هرگز در مورد اینکه این آسیب‌پذیری ممکن است تهدیدی به حساب آید شکی وجود نداشته، اما چند روز پیش تام ترووتِ محقق (کاشف این آسیب‌پذیری) از شرکت Secura گزارشی باجزئیات منتشر کرد که در آن توضیح داده شده بود که چرا این آسیب‌پذیری –معروف به  Zerologon- بسیار خطرناک است و چطور می‌شود برای سرقت کنترل‌کننده‌ی دامنه[3] به کار گرفته شود. در ادامه هر آنچه باید در مورد Zerologon بدانید را شرح داده‌ایم. با ما همراه بمانید.

همه‌چیز در مورد Zerologon

CVE-2020-1472 در اصل نتیجه‌ی نقصی در برنامه‌ی احراز هویت کریپتوگرافیک Netlogon Remote Protocol است. این پروتکل، کارش احراز هویت کاربران و دستگاه‌ها در شبکه‌های مبتنی بر دامنه است و همچنین برای آپدیت ریموت رمزعبورهای کامپیوتر نیز از آن استفاده می‌شود. مهاجم از طریق این آسیب‌پذیری می‌تواند کامپیوتر کلاینت را جعل ورمزعبور یک کنترل‌کننده دامنه را (سروری که کل شبکه را کنترل نموده و  Active Directory services را اجرا می‌کند) تغییر دهد؛ که همین به مهاجم اجازه می‌دهد حقوق ادمین دامنه را دریافت کند.

چه کسی آسیب‌پذیر است؟

CVE-2020-1472 برای شرکت‌هایی خطر محسوب می‌شود که شبکه‌هایشان مبتنی بر کنترل‌کننده‌های دامنه‌ تحت ویندوزی است. به طور خاص، مجرمان سایبری می‌توانند بر اساس هر نسخه ویندوز سرور 2019 یا ویندوز سرور 2016 و نیز هر نسخه ویندوز سرور 1909، ویندوز سرور 1903، ویندوز سرور 1809 (نسخه‌های Datacenter و Standard)، ویندوز سرور 2012 R2، ویندوز سرور 2012 یا ویندوز سرور 2008  R2 Service Pack 1 یک کنترل‌کننده‌ی دامنه را سرقت کنند. مهاجمین برای حمله ابتدا باید به شبکه سازمانی نفوذ کنند اما خطر اصلی اینجا نیست: مهم حملات داخلی و عمل نفوذ از طریق خروجی‌های اترنت در سازمان‌هایی است که به طور عموم قابل‌دسترسی‌اند.

خوشبختانه، Zerologon هنوز در حمله‌ای واقعی به کار نرفته است (یا دست‌کم هنوز گزارشی نیامده است). با این حال، گزارش ترووت کمی معادلات را بهم زد و حالا شاخک‌های مهاجمین بیش از قبل دارد تکان می‌خورد. و اگرچه محققین هنوز اثبات مفهومی[4] را نشر نداده‌اند اما شک ندارند مهاجمین می‌توانند بر اساس همین پچ‌ها یکی عین همان را بسازند.

راهکارهای امنیتی

مایکروسافت اوایل آگست سال جاری برای بستن این آسیب‌پذیری (مخصوص تمامی سیستم‌های آلوده‌شده) پچ‌هایی را ارائه داد؛ بنابراین اگر هنوز آپدیت نکرده‌اید اکنون وقت آن رسیده.

افزون بر این، این شرکت توصیه می‌کند هر تلاشی برای لاگین (از جانب نسخه‌ی آسیب‌پذیر این پروتکل) مورد نظارت قرار گیرد و دستگاه‌هایی که از نسخه‌ی جدید پشتیبانی نمی‌کنند شناسایی شوند. به نقل از مایکروسافت، در حالت ایده‌آل یک کنترل‌کننده دامنه باید در حالتی تنظیم شود که تمامی دستگاه‌ها در آن از نسخه‌ی امن Netlogon استفاده کنند.

این آپدیت‌ها چنین محدودیتی را اعمال نمی‌کنند زیرا Netlogon Remote Protocol نه تنها در ویندوز که در بسیاری از دستگاه‌های مبتنی بر سایر سیستم‌عامل‌ها (که همچنین به همین پروتکل تکیه کرده‌اند) به کار می‌رود. اگر استفاده از آن اجباری شود، دستگاه‌هایی که از نسخه‌ی امن پشتیبانی نمی‌کنند عملکرد درستی از خود نشان نخواهند داد. با این وجود، از 9 فوریه 2021، کنترل‌کننده‌های دامنه ملزم به استفاده از چنین مودی خواهند شد (یعنی همه دستگاه‌ها مجبور به استفاده از Netlogon امن و آپدیت‌شده خواهند شد) و بدین‌ترتیب ادمین‌ها نیز باید مشکل انطباق دستگاه طرف‌سوم را زودتر از موعد مقرر حل کنند (با آپدیت یا افزودن دستی آن‌ها در قالب موارد استثنا).

 

[1] Patch Tuesday، اصطلاحیست غیررسمی که به زمانی اشاره دارد که مایکروسافت به طور دوره‌ای پچ‌های نرم‌افزاری برای محصولات نرم‌افزاری خود ارائه می‌دهد.

[2] سرویسی که برای احرازهویت کردن سیستم ها در شبکه دامین بکار می‌رود

[3]  domain controller

[4] proof of concept

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    8,187,400 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    2,727,400 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    10,917,400 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    4,092,400 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    4,092,400 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    5,457,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    9,828,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد