معرفی آسیب پذیری Zerologon در Netlogon (آسیب پذیری CVE-2020-1472):

مایکروسافت در آگوست 2020 یک بروزرسانی امنیتی ارائه داد و در آن وجود آسیب پذیری Zerologon در Netlogon را اعلام نمود. این آسیب پذیری که از نوع «افزایش سطح دسترسی (EoP)» و کد آن CVE-2020-1472 است، روی سرویس Netlogon قرار دارد و سیستم‌عامل‌های ویندوز متعددی را تحت تاثیر قرار می‌دهد (فهرست این سیستم‌عامل‌ها در ادامه ذکر شده است). CVSS Score این آسیب پذیری 10 است و جز آسیب پذیری های Critical محسوب میشود.

سرویس Netlogon در واقع یک پردازه در Windows Server است. این سرویس به منظور احراز هویت کاربرها و سرویس‌ها یک کانال امن بین هر کامپیوتر و کنترل‌کننده‌ی دامنه (Domain Controller) ایجاد می‌کند. اگر این سرویس متوقف شود کامپیوتر نمی‌تواند هویت کاربرها و سرویس‌های خود را احراز و کنترل‌کننده‌ی دامنه نیز نمی‌تواند رکورد‌های DNS را ثبت نماید. اگر این سرویس از کار بیافتد، هر سرویسی که برای احراز هویت به Netlogon مابسته باشد نیز کار نخواهد کرد؛ بنابراین سرویس Netlogon باید به صورت مداوم در پس‌زمینه اجرا شود، مگر اینکه به صورت دستی یا در نتیجه یک خطای زمان‌اجرا سرویس متوقف شود.

چه محصولاتی تحت تاثیرآسیب پذیری Zerologon در Netlogon (آسیب پذیری CVE-2020-1472) قرار خواهند گرفت؟

  1. Windows Server 2008 R2 for x64-based Systems Service Pack 1
  2. Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  3. Windows Server 2012
  4. Windows Server 2012 (Server Core installation)
  5. Windows Server 2012 R2
  6. Windows Server 2012 R2 (Server Core installation)
  7. Windows Server 2016
  8. Windows Server 2016 (Server Core installation)
  9. Windows Server 2019
  10. Windows Server 2019 (Server Core installation)
  11. Windows Server, version 1903 (Server Core installation)
  12. Windows Server, version 1909 (Server Core installation)
  13. Windows Server, version 2004 (Server Core installation)

مکانیزم آسیب پذیری Zerologon در Netlogon:

این آسیب پذیری روی پروتکل Netlogon قرار دارد. مشکلی که در پیاده‌سازی و نحوه کاربردِ پروتکل‌های رمزنگاری (به‌خصوص روی AES-CFB8) در Netlogon وجود دارد، موجب بوجود آمدن این آسیب پذیری شده است. مهاجم می‌تواند با ارسال یک رشته از کاراکتر صفر (0) برای پروتکل Netlogon، سطح دسترسی خود را در سطح دامنه افزایش دهد و به تمامی دسترسی‌های ادمین دامنه دست یابد. بدین ترتیب مهاجم می‌تواند کنترل تمامی دامنه را دست بگیرد و فعالیت‌های مخرب دیگری را نیز در سطح دامنه اجرا نماید.بردار حمله

این آسیب پذیری، اولین بار توسط شرکت secura کشف شد. برای کسب اطلاعات بیشتر در رابطه با مکانیزم حمله‌ی مربوط به این آسیب پذیری می‌توانید گزارشی در رابطه با آسیب پذیری Zerologon در Netlogon که توسط این شرکت ارائه شده است را مطالعه نمایید.

بردار حمله

بردار حمله این آسیب­پذیری به صورت زیر است:

Vector= AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C

بر اساس اطلاعات موجود در این بردار حمله می‌توان به این نتایج ذیل دست یافت:

– نوع دسترسی مورد نیاز برای اجرای حمله: مهاجم برای اجرای حمله‌ی مربوط به این آسیب پذیری باید به شبکه‌ای که کامپیوتر در آن قرار دارد دسترسی داشته باشد؛ این دسته از حملات را عموما می‌توان به صورت از راه دور (remote execution) نیز اجرا نمود.

– سطح پیچیدگی حمله: آسان

– سطح دسترسی لازم برای اجرای حمله توسط مهاجم: اجرای این حمله نیاز به هیچگونه دسترسی ندارد.

– محدوده تاثیر حمله: تغییر می‌کند ( به این معنی سیستم آسیب پذیری با سیستم‌هایی که به آن‌ها حمله می‌شود تفاوت دارد). در رابطه با این حمله، مهاجم از طریق یکی از کامپیوترهایی که در دامنه قرار دارد سطح دسترسی خود را تا حد ادمین دامنه افزایش می‌دهد و بنابراین می‌تواند به سایر سیستم‌ها و اطلاعات در سطح دامنه دست یابد.

(Confidentiality) میزان تاثیر روی محرمانگی: در سطح بالا

(Integrity) میزان تاثیر روی یکپارچگی: در سطح بالا

(Availibility) میزان تاثیر روی دسترس‌پذیری: در سطح بالا

سطح بلوغ کد سوء استفاده: برای این آسیب‌پذیری Proof of Concept ارائه شده است و بنابراین کد سوء استفاده از آن وجود دارد.

سطح راه‌حل ارائه شده: برای این آسیب پذیری به صورت رسمی راهکار ارائه شده است (توسط مایکروسافت وصله (patch) ارائه شده است).

– میزان قابلیت اعتماد به گزارش‌های موجود از این آسیب‌پذیری: وجود این آسیب پذیری توسط مراجع معتبر تایید شده است.

روش های مقابله دستی:

 بسته های امنیتی که توسط شرکت مایکروسافت ارائه می‌شود را روی سیستم عامل‌های مایکروسافتی خود نصب نمایید.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

مقابله با استفاده از ابزارهای امنیتی:

1. یکی از راه‌حل‌های کاهش تاثیر تهدیدهای ناشی از آسیب پذیری ها، دریافت اطلاعات زودهنگام از وجود آن‌هاست. یک نمونه از مهم‌ترین ابزار‌هایی می‌تواند به حفظ امنیت سازمان شما در این زمینه کمک کند، Nessus نام دارد. این ابزار یک قابلیت اسکنِ دور‌ه‌ای برای کاربر فراهم می‌کند و آسیب پذیری های برطرف نشده‌ی سرویس‌های سازمان را به صورت دوره‌ای بررسی و گزارش می‌نماید. به این ترتیب می‌توان در اسرع وقت در جهت رفع مشکل یا تعیین سیاست‌های امنیتی جدید برای جلوگیری از مخاطرات احتمالی گام برداشت.شرکت Tenable برای کشف این آسیب‌پذیری از طریق Nessus یک وصله طراحی و اطلاعات آن را در  صفحه مربوط به آسیب پذیری CVE-2020-1472 منتشر کرده است.

در اینجا می‌توانید رابطه با Nessus بیشتر بخوایند

2.استفاده از FortiGate: FortiGate برای مقابله با حملات ناشی از آسیب پذیری CVE-2020-1472 یک قانون با ID: 49499 طراحی کرده است. بنابراین سازمان‌ها می‌توانند با افزودن این قانون به قسمت IPS در تجهیز FortiGate  خطر بروز این حمله و حوادث احتمالی را کاهش دهند.

در اینجا می‌توانید رابطه با FortiGate بیشتر بخوایند

مجموعه افراتک با هدف تسهیل فرایندهای مقابله با حملات و کمک به ارتقا امنیت سازمان‌ها، ویدئویی آموزشی در رابطه با نحوه کسب اطلاعاتِ مربوط به روش‌های مقابله با آسیب پذیری ها در سایت FortiGuard ارائه کرده است. این ویدئو را در ادامه مشاهده می‌نمایید:

شما می‌توانید نحوه افزودن دستی یک قانون/امضا به FortiGate را در ویدئوی آموزشی زیر مشاهده نمایید. این ویدئو برای آسیب پذیری CVE-2020-1350 ارائه شده است، لیکن روش‌های مطرح شده در آن برای مقابله با هر آسیب پذیری دیگری که توسط FortiGuard برای آن قانون/امضایی ارائه شده باشد، صادق خواهد بود:

سایر ابزارهای امنیتی موجود برای مقابله با حملات ناشی از این آسیب پذیری عبارت هستند از:

3.استفاده از FortiClient: ابزار FortiClient برای مقابله با حملات ناشی از این آسیب پذیری یک قانون با SID= 64678 طراحی کرده است؛ بنابراین سازمان‌ها می‌توانند با افزودن این قانون به مجموعه قوانین FortiClient جلوی بروز حملات و حوادث احتمالی را بگیرند.

4.استفاده از Sophos IPS: شرکت Sophos برای مقابله با این آسیب پذیری از طریق IPS، امضاهایی را طراحی و اطلاعات آن‌ها را در گزارش مربوط به آسیب پذیری Zerologon در Netlogon ارائه کرده است. شرکت PaloAlto برای مقابله با این آسیب پذیری از طریق NGFW، امضاهایی را طراحی و ارائه کرده است.

مراجع:

[1]. https://unit42.paloaltonetworks.com/zerologon/

[2]. https://www.secura.com/blog/zero-logon

[3]. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472

[4]. https://www.fortiguard.com/search?q=cve-2020-1472&engine=3

[5]. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

[6]. https://nakedsecurity.sophos.com/2020/09/17/zerologon-hacking-windows-servers-with-a-bunch-of-zeros/

[7]. https://www.tenable.com/blog/cve-2020-1472-advanced-persistent-threat-actors-use-zerologon-vulnerability-in-exploit-chain