اهمیت ندادن به آپدیت‌های امنیتی در ایران دردسرساز شد

1399/07/28

راهکار نوین امنیت‌ ایمیل‌های سازمانی در برابر تهدیدات

1399/09/09

۶ نکته‌ای که باید درباره نقص Microsoft Zerologon بدانید

1399/08/21 ادمین سایت

اخبار

مایکروسافت اطلاعاتی در مورد یک آسیب‌پذیری اساسی در پروتکل ریموت ویندوز (MS-NRPC) در ماه آگوست ۲۰۲۰ ارائه کرد. نگرانی‌ها در مورد این آسیب‌پذیری‌، پس از آن‌که مهاجمان آن را هدف قرار دادند، به‌طور قابل توجهی افزایش یافت. مایکروسافت از طریق یک سری توییت از تمامی سازمان‌ها درخواست کرد که بلافاصله Patch منتشر شده در مورد این آسیب‌پذیری را اعمال کنند (CVE-2020-1472).

یکی از مشاورین CISA (Cybersecurity and Infrastructure Security Agency) اعلام کرد: “تا زمانی که تمام کنترل کننده دامین‌ها (Domain Controller ) آپدیت نشوند، کل زیرساخت‌ها سازمان آسیب‌پذیر هستند.”

چه نکاتی در مورد نقص Zerologon باید بدانید؟

اطلاعاتی که شما باید در مورد این آسیب‌پذیری بدانید و اینکه چرا باید فورا آن را برطرف کنید، براساس گفته‌های کارشناسان امنیت سایبری در اینجا آمده است.

آسیب‌پذیری Netlogon/Zerologon دقیقا چیست؟

CVE-2020-1472 یک آسیب‌پذیری با امتیاز بالا است که در MS-NRPC (Microsoft Windows Netlogon Remote Protocol) وجود دارد. Netlogon هسته اصلی احراز هویت در Microsoft Active Directory است.

لوک ریچاردز، تحلیلگر ارشد امنیت سایبری در Vectra می‌گوید: “Netlogon سرویسی است که توسط Domain Controllers ارائه می‌شود تا یک کانال امن بین کامپیوتر و Domain Controllers ایجاد کند. به‌طور معمول برای استفاده از این کانال به یک گواهی معتبر که قبلا به تایید رسیده اشت یا سایر روش‌‌های تایید اعتبار نیاز است.”

به آسیب‌پذیری Netlogon/Zerologon امتیازCVSS ، ۱۰ داده شده است که بالاترین امتیاز ممکن برای یک ضعف نرم‌افزاری است.

چرا در مورد این نقص نگرانی وجود دارد؟

مایکروسافت اشاره کرده است که نقص Netlogon/Zerologon به یک مهاجم اجازه می‌دهد تا از MS-NRPC برای اتصال به یک کنترل کننده دامنه و با دسترسی ادمین استفاده کند.

ریچاردز می‌گوید: “این نقص به هرکسی اجازه می‌دهد تا به راحتی از این کانال، حتی از طریق یک سیستم که به دامنه وصل نیست، سو استفاده کند و اقدامات مخرب زیادی در سطح شبکه انجام دهد.

داستین چیلدز، مشاور امنیت سایبری می‌گوید: “این آسیب‌پذیری می‌تواند به مهاجمان اجازه دهد تا کد دلخواه خود را بر روی Domain Controllers دامنه ویندوز اجرا کنند. این کدها با دسترسی بالایی اجرا می‌شوند و به مهاجم اجازه می‌دهد تا کل دامنه را کنترل کنند.”

در نتیجه، CISA این نقص را “ریسک غیرقابل قبول” توصیف کرده و تمامی کسب‌وکارها را برای اقدام به Patch اضطراری تشویق می‌کند.

مایکروسافت این ضعف را در آگوست فاش کرده است پس چه‌چیزی باعث افزایش هشدارها در این ماه شد؟

تیم اطلاعات تهدیدات مایکروسافت و محققان سازمان‌های دیگر متوجه شدند که مهاجمان با سوء استفاده از آسیب‌پذیری موجود، شبکه ها را هدف قرار می‌دهند. مشخص نیست که این فعالیت مخرب تا چه اندازه گسترده است. سوء استفاده‌ها به صورت عمومی در دسترس و حمله‌ها آغاز شده است.

از آنجا که اکثر کنترل کننده‌های دامنه از طریق اینترنت قابل دسترسی نیستند، خوشبختانه تعداد اهداف موجود تا حدودی محدود می‌شود.

جوزف کارسون، محقق ارشد امنیت و مشاور CISO می‌گوید: “آسیب‌پذیری‌هایی مانند Zerologon فرصتی مناسب برای افزایش سطح دسترسی مجرمانی ایجاد می کند، که قبلا وارد شبکه شده‌اند. نادیده گرفتن این آسیبپذیری ممکن است مسئله امنیتی شدیدی برای شما ایجاد کند. Patch کردن سیستم‌ها برای این آسیب‌پذیری باید در اولویت باشد.”

عواقب احتمالی عدم Patch کردن فوری چیست؟

چایلدز می‌گوید: “Patch نکردن به این معنی است که شما یکی از مهم‌ترین دارایی‌های خود را در برابر تهدید فعال بدون محافظ رها می‌کنید. این یک باگ تئوری نیست که توسط مهاجمان پیچیده مورد سوء استفاده قرار بگیرد بلکه، این یک آسیب‌پذیری است که به‌طور مداوم توسط مهاجمان علیه شرکت‌ها استفاده می‌شود.” او همچنین افزود: “مهاجمینی که با موفقیت از آسیب‌پذیری Zerologon سوء استفاده می‌کنند، می‌توانند به عنوان کنترل کننده دامنه احراز هویت شوند و در اصل بلیط طلایی برای خود صادر می‌کنند که به آن‌ها امکان می‌دهد نشانه‌های احراز هویت جدید را در هر سطح اختصاص دهند.”

آیا Patch منتشر شده توسط مایکروسافت در ماه آگوست، نقص Zerologon را به‌طور کامل رفع می‌کند؟

مایکروسافت هنگامی که در ماه آگوست این نقص را فاش کرد، اعلام کرد که یک پچ دو قسمتی ارائه شده است. اولین پچ، که در ماه آگوست منتشر شد، آسیب‌پذیری و سوء استفاده از آن را برطرف می‌کند. پچ دوم، برای فوریه ۲۰۲۱ برنامه‌ریزی شده است تا ورودهای ایمن از طریق ریموت (RPC) با Netlogon اعمال کند.

ریچاردز می‌گوید: “در حال حاضر، پچی که از سوی مایکروسافت منتشر شده است، ویژگی‌های امنیتی را قادر می‌سازد که سوء استفاده از Zerologon متوقف شود. با این حال، این مورد مشکل اساسی را برطرف نمی‌کند.” او همچنین گفت: “پچ منتشر شده باید برای همه کنترل کننده‌های دامنه اعمال شود. توجه داشته باشید تا زمانی که پچ دوم در دسترس قرار نگیرد، این مسئله به‌طور کامل برطرف نشده است.” “طبق راهنمای مایکروسافت، آن‌ها به ادمین سیستم‌ها توصیه کردند که این پچ را اعمال کنند. سپس سیستم‌های غیرسازگار را کنترل کنند. ممکن است پس از اینکه پچ را اعمال کنید، سیستم‌ها همچنان در معرض خطر باشند.”

کسب‌وکارها برای کاهش خطرات احتمالی چه کاری می‌توانند انجام دهند؟

تنها راه‌حل برای محافظت کامل در برابر تهدیدات، شناسایی کنترل کننده‌های دامنه‌ای است که از طریق اینترنت قابل دسترسی هستند. آن‌ها پچ کنید و توصیه‌های مایکروسافت را در مورد نحوه اجرای اتصالات RPC ایمن دنبال کنید.

توصیه دیگر، توجه دقیق به سیستم‌هایی است که می‌توانند هنگام استفاده از حساب‌های کاربری یا میزبان‌ها برای دسترسی به خدمات شبکه و مواردی که به آن‌ها دسترسی ندارند، گزارش تهیه کنند.

به‌عنوان مثال، اگر به کاربر اعتبارنامه مدیر دامنه اعطا شده باشد، آن حساب کاربری و میزبان به طور بالقوه به خدمات شبکه‌ای دسترسی پیدا می‌کنند که قبلا هرگز به آن‌ها دسترسی نداشته‌اند.

منبع: پارس تدوین