یکشنبه 9 آذر 1399   04:41:24
 

هشدار در خصوص بهره‌جویی مهاجمان از آسیب‌پذیری Zerologon






مهاجمان به تازگی در حال بهره‌جویی (Exploit) از آسیب‌پذیری CVE-۲۰۲۰-۱۴۷۲ معروف به (Zerologon) هستند.

 ضعف Zerologon ضعفی از نوع "دسترسی مازاد" (Elevation of Privilege) است و پودمان Microsoft Netlogon Remote ProtoCol – که با عنوان MS-NRPC نیز شناخته می‌شود – از آن تأثیر می‌پذیرد.

Zerologon مهاجم را قادر می‌سازد تا بدون نیاز به اصالت‌سنجی شدن با اتصال در بستر پودمان MS-NRPC خود را به‌عنوان یک دستگاه عضو دامنه از جمله یک سرور Domain Controller – به اختصار DC – معرفی کرده و موفق به دستیابی به سطح دسترسی Domain Admin و در ادامه انجام اعمال مخرب مختلف در سطح دامنه شود.

بر طبق استاندارد CVSS، شدت این آسیب‌پذیری ۱۰ از ۱۰ گزارش شده است.

پیش‌تر شرکت مایکروسافت و برخی سازمان‌های فعال در حوزه امنیت سایبری نیز از مورد بهره‌جویی قرار گرفتن آن توسط مهاجمان هشدار داده بودند.

جزییات آسیب‌پذیری Zerologon به‌طور گسترده در اینترنت قابل دسترس بوده و برخی ابزارهای نفوذ نظیر Mimikatz و Metasploit اکنون مجهز به بهره‌جوی آن شده‌اند (لینک زیر).

 

https://github.com/rapid۷/metasploit-framework/pull/۱۴۱۵۱

مایکروسافت اصلاحیه Zerologon را برای سیستم‌های عامل زیر در ۲۱ مرداد ماه سال جاری به همراه مجموعه اصلاحیه‌های ماه آگوست خود منتشر کرد.

•    Windows Server ۲۰۰۸ R۲ for x۶۴-based Systems Service Pack ۱
•    Windows Server ۲۰۰۸ R۲ for x۶۴-based Systems Service Pack ۱ (Server Core installation)
•    Windows Server ۲۰۱۲
•    (Windows Server ۲۰۱۲ (Server Core installation
•    Windows Server ۲۰۱۲ R۲
•    (Windows Server ۲۰۱۲ R۲ (Server Core installation
•    Windows Server ۲۰۱۶
•    (Windows Server ۲۰۱۶ (Server Core installation
•    Windows Server ۲۰۱۹
•    (Windows Server ۲۰۱۹ (Server Core installation
•    (Windows Server, version ۱۹۰۳ (Server Core installation
•    (Windows Server, version ۱۹۰۹ (Server Core installation
•    (Windows Server, version ۲۰۰۴ (Server Core installation
مایکروسافت در اواخر سپتامبر اطلاعات سه نسخه از فایل مخربی با عنوان SharpZeroLogon.exe را منتشر کرده که به گفته این شرکت در جریان حملات مهاجمان به‌منظور بهره‌جویی از Zerologon مورد استفاده قرار گرفته بوده است.

•    b۹۰۸۸bea۹۱۶e۱d۲۱۳۷۸۰۵edeb۰b۶a۵۴۹f۸۷۶۷۴۶۹۹۹fbb۱b۴۸۹۰fb۶۶۲۸۸a۵۹f۹d
•    ۲۴d۴۲۵۴۴۸e۴a۰۹e۱e۱f۸daf۵۶a۱d۸۹۳۷۹۱۳۴۷d۰۲۹a۷ba۳۲ed۸c۴۳e۸۸a۲d۰۶۴۳۹
•    c۴a۹۷۸۱۵d۲۱۶۷df۴bdf۹bfb۸a۹۳۵۱f۴ca۹a۱۷۵c۳ef۷c۳۶۹۹۳۴۰۷c۷۶۶b۵۷c۸۰۵b

در ادامه نیز اقدام به تکمیل توصیه‌نامه خود کرد و در آن به روش شناسایی ارتباطات ناامن و اقدامات مقاوم‌سازی بیشتر پرداخت.

حملات مبتنی بر Zerologon در حال تکامل بوده و نمونه‌هایی از آن در لینک‌های زیر قابل مطالعه است:

https://dirkjanm.io/a-different-way-of-abusing-zerologon/
https://www.lares.com/blog/from-lares-labs-defensive-guidance-for-zerologon-cve-۲۰۲۰-۱۴۷۲/

مراحل رفع آسیب‌پذیری Zerologon به شرح زیر است:

۱) اطمینان از اعمال اصلاحیه‌های ماه آگوست یا بعد از آن به سرورهای DC مطابق با لینک زیر:

https://support.microsoft.com/en-gb/help/۴۵۵۷۲۲۲/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc#Updates%۲۰section

۲) رصد رویدادها با هدف شناسایی دستگاه‌هایی که اقدام به ایجاد ارتباطات آسیب‌پذیر مطابق با لینک زیر:

https://support.microsoft.com/en-gb/help/۴۵۵۷۲۲۲/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc#DetectingNon-compliant

۳) رفع ناسازگاری دستگاه‌هایی که ارتباطات آسیب‌پذیر برقرار می‌کنند مطابق با لینک زیر:
https://support.microsoft.com/en-gb/help/۴۵۵۷۲۲۲/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc#AddressingEventIDs

۴) فعال‌سازی حالت موسوم به Enforcement Mode مطابق با لینک زیر:
https://support.microsoft.com/en-gb/help/۴۵۵۷۲۲۲/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc#EnablingEnforcementMode

لازم به ذکر است که بر طبق اعلام مایکروسافت، این شرکت در فوریه سال آینده اقدام به عرضه اصلاحیه‌ای خواهد کرد که حالت Enforcement Mode را بر روی تمامی سرورهای DC بدون امکان غیرفعال‌سازی آن فعال کرده و در نتیجه آن تمامی ارتباطات آسیب‌پذیر مسدود خواهد شد. تا قبل از آن لازم است Enforcement Mode که با اعمال تغییر در (Registry) فعال شود.

در مواردی بهره‌جویی از آسیب‌پذیری Zerologon موجب ثبت رویدادهایی بر روی سرور می‌شود. از جمله آنها می‌توان به رویدادهای با شناسه Event ID ۴۷۴۲ – با عنوان A computer account was changed – و Event ID ۴۶۷۲ – با عنوان Special privileges assigned to new logon – اشاره کرد.

اسکریپت زیر نیز از طریق WMI به‌طور بازگشتی (Recursively) اقدام به بررسی سرورهای DC در بستر Forest و استخراج نام DC، سیستم عامل آن و وضعیت نصب KB مرتبط می‌کند:

https://github.com/cisagov/cyber.dhs.gov/tree/master/assets/report/ed-۲۰-۰۴_script
امضاهای منتشر شده برای Zerologon به‌شرح زیر است:

•    Splunk Attack Range: https://www.splunk.com/en_us/blog/security/detecting-cve-۲۰۲۰-۱۴۷۲-using-splunk-attack-range.html
•    YARA Rule: https://go.cynet.com/hubfs/rule%۲۰Zerologon.yara
•    SNORT Rule: https://gist.github.com/silence-is-best/۴۳۵ddb۳۸۸f۸۷۲b۱a۲e۳۳۲b۶۲۳۹e۹۱۵۰b
•    Sigma Rules: https://blog.zsec.uk/zerologon-attacking-defending/#detection-response-monitoring-for-attacks

جزییات بیشتر در خصوص Zerologon و اصلاحیه آن در لینک‌های زیر قابل مطالعه است:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-۲۰۲۰-۱۴۷۲
https://support.microsoft.com/en-gb/help/۴۵۵۷۲۲۲/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc




کلمات کليدي
 
امتیاز دهی
 
 

تعداد بازديد اين صفحه: 48741
تعداد بازديد کنندگان سايت: 164707857 تعداد بازديد زيرپورتال: 50064 اين زيرپورتال امروز: 10 سایت در امروز: 5187 اين صفحه امروز: 9
کلیه حقوق این سایت متعلق به وزارت نفت جمهوری اسلامی ایران میباشد.
استفاده از اطلاعات این سایت با ذکر منبع بلامانع است.
Best View in 1024x768