معرفی آسیب پذیری Zerologon در Netlogon (آسیب پذیری CVE-2020-1472):
مایکروسافت در آگوست 2020 یک بروزرسانی امنیتی ارائه داد و در آن وجود آسیب پذیری Zerologon در Netlogon را اعلام نمود. این آسیب پذیری که از نوع «افزایش سطح دسترسی (EoP)» و کد آن CVE-2020-1472 است، روی سرویس Netlogon قرار دارد و سیستمعاملهای ویندوز متعددی را تحت تاثیر قرار میدهد (فهرست این سیستمعاملها در ادامه ذکر شده است). CVSS Score این آسیب پذیری 10 است و جز آسیب پذیری های Critical محسوب میشود.
سرویس Netlogon در واقع یک پردازه در Windows Server است که به منظور احراز هویت کاربرها و سرویسها یک کانال امن بین هر کامپیوتر و کنترلکننده دامنه (Domain Controller) ایجاد میکند. اگر این سرویس متوقف شود کامپیوتر نمیتواند هویت کاربرها و سرویسهای خود را احراز و کنترلکننده دامنه نیز نمیتواند رکوردهای DNS را ثبت نماید. اگر از کار بیافتد، هر سرویسی که برای احراز هویت به Netlogon وابسته باشد نیز کار نخواهد کرد؛ بنابراین Netlogon باید به صورت مداوم در پسزمینه اجرا شود، مگر اینکه به صورت دستی یا در نتیجه یک خطای زمان اجرا سرویس متوقف شود.
چه محصولاتی تحت تاثیرآسیب پذیری Zerologon در Netlogon (آسیب پذیری CVE-2020-1472) قرار خواهند گرفت؟
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
مکانیزم آسیب پذیری Zerologon در Netlogon:
این آسیب پذیری روی پروتکل Netlogon قرار دارد. مشکلی که در پیادهسازی و نحوه کاربردِ پروتکلهای رمزنگاری (بهخصوص روی AES-CFB8) در Netlogon وجود دارد، موجب بوجود آمدن این آسیب پذیری شده است. مهاجم میتواند با ارسال یک رشته از کاراکتر صفر (0) برای پروتکل Netlogon، سطح دسترسی خود را در سطح دامنه افزایش دهد و به تمامی دسترسیهای ادمین دامنه دست یابد. بدین ترتیب مهاجم میتواند کنترل تمامی دامنه را دست بگیرد و فعالیتهای مخرب دیگری را نیز در سطح دامنه اجرا نماید.بردار حمله این آسیب پذیری، اولین بار توسط شرکت secura کشف شد.
بردار حمله
بردار حمله این آسیب پذیری به صورت زیر است:
Vector= AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C
بر اساس اطلاعات موجود در این بردار حمله میتوان به این نتایج ذیل دست یافت:
– نوع دسترسی مورد نیاز برای اجرای حمله: مهاجم برای اجرای حمله مربوط به این آسیب پذیری باید به شبکهای که کامپیوتر در آن قرار دارد دسترسی داشته باشد؛ این دسته از حملات را عموما میتوان به صورت از راه دور (remote execution) نیز اجرا نمود.
– سطح پیچیدگی حمله: آسان
– سطح دسترسی لازم برای اجرای حمله توسط مهاجم: اجرای این حمله نیاز به هیچگونه دسترسی ندارد.
– محدوده تاثیر حمله: تغییر میکند ( به این معنی سیستم آسیب پذیری با سیستمهایی که به آنها حمله میشود تفاوت دارد). در رابطه با این حمله، مهاجم از طریق یکی از کامپیوترهایی که در دامنه قرار دارد سطح دسترسی خود را تا حد ادمین دامنه افزایش میدهد و بنابراین میتواند به سایر سیستمها و اطلاعات در سطح دامنه دست یابد.
– (Confidentiality) میزان تاثیر روی محرمانگی: در سطح بالا
– (Integrity) میزان تاثیر روی یکپارچگی: در سطح بالا
– (Availibility) میزان تاثیر روی دسترسپذیری: در سطح بالا
– سطح بلوغ کد سوء استفاده: برای این آسیبپذیری Proof of Concept ارائه شده است و بنابراین کد سوء استفاده از آن وجود دارد.
– سطح راهحل ارائه شده: برای این آسیب پذیری به صورت رسمی راهکار ارائه شده است (توسط مایکروسافت وصله (patch) ارائه شده است).
– میزان قابلیت اعتماد به گزارشهای موجود از این آسیبپذیری: وجود این آسیب پذیری توسط مراجع معتبر تایید شده است.
روش های مقابله دستی:
بسته های امنیتی که توسط شرکت مایکروسافت ارائه میشود را روی سیستم عاملهای مایکروسافتی خود نصب نمایید.
مقابله با استفاده از ابزارهای امنیتی:
1. یکی از راهحلهای کاهش تاثیر تهدیدهای ناشی از آسیب پذیری ها، دریافت اطلاعات زودهنگام از وجود آنهاست. یک نمونه از مهمترین ابزارهایی که میتواند به حفظ امنیت سازمان شما در این زمینه کمک کند، Nessus نام دارد. این ابزار یک قابلیت اسکنِ دورهای برای کاربر فراهم میکند و آسیب پذیری های برطرف نشده سرویسهای سازمان را به صورت دورهای بررسی و گزارش مینماید. به این ترتیب میتوان در اسرع وقت در جهت رفع مشکل یا تعیین سیاستهای امنیتی جدید برای جلوگیری از مخاطرات احتمالی گام برداشت.
در اینجا میتوانید رابطه با Nessus بیشتر بخوایند
2.استفاده از FortiGate: FortiGate برای مقابله با حملات ناشی از آسیب پذیری CVE-2020-1472 یک قانون با ID: 49499 طراحی کرده است. بنابراین سازمانها میتوانند با افزودن این قانون به قسمت IPS در تجهیز FortiGate خطر بروز این حمله و حوادث احتمالی را کاهش دهند.
در اینجا میتوانید رابطه با FortiGate بیشتر بخوایند
مجموعه افراتک با هدف تسهیل فرایندهای مقابله با حملات و کمک به ارتقا امنیت سازمانها، ویدئویی آموزشی در رابطه با نحوه کسب اطلاعاتِ مربوط به روشهای مقابله با آسیب پذیری ها در سایت FortiGuard ارائه کرده است. این ویدئو را در ادامه مشاهده مینمایید:
شما میتوانید نحوه افزودن دستی یک قانون/امضا به FortiGate را در ویدئوی آموزشی زیر مشاهده نمایید. این ویدئو برای آسیب پذیری CVE-2020-1350 ارائه شده است، لیکن روشهای مطرح شده در آن برای مقابله با هر آسیب پذیری دیگری که توسط FortiGuard برای آن قانون/امضایی ارائه شده باشد، صادق خواهد بود:
سایر ابزارهای امنیتی موجود برای مقابله با حملات ناشی از این آسیب پذیری عبارت هستند از:
3.استفاده از FortiClient: ابزار FortiClient برای مقابله با حملات ناشی از این آسیب پذیری یک قانون با SID= 64678 طراحی کرده است؛ بنابراین سازمانها میتوانند با افزودن این قانون به مجموعه قوانین FortiClient جلوی بروز حملات و حوادث احتمالی را بگیرند.
4.استفاده از Sophos IPS: شرکت Sophos برای مقابله با این آسیب پذیری از طریق IPS، امضاهایی را طراحی و اطلاعات آنها را در گزارش مربوط به آسیب پذیری Zerologon در Netlogon ارائه کرده است. شرکت PaloAlto برای مقابله با این آسیب پذیری از طریق NGFW، امضاهایی را طراحی و ارائه کرده است.
مراجع:
[1]. https://www.secura.com/blog/zero-logon
[2]. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472
[3]. https://www.fortiguard.com/search?q=cve-2020-1472&engine=3
[4]. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
[5]. https://nakedsecurity.sophos.com/2020/09/17/zerologon-hacking-windows-servers-with-a-bunch-of-zeros/