آسیب پذیری zerologon چیست؟

یک آسیب پذیری در رمزنگاری فرآیند Netlogon مایکروسافت که امکان حمله به کنترل کننده های دامنه Microsoft Active Directory را فراهم می کند و این امکان را برای هکر فراهم می کند که جعل هویت هر رایانه ای از جمله کنترل کننده دامنه ریشه را انجام دهد.

Zerologon

Zerologon نامی است که به آسیب پذیری شناسایی شده در CVE-2020-1472 داده شده است. به دلیل نقص در روند ورود به سیستم ، که بردار مقداردهی اولیه (IV) به طور مداوم  همیشه با صفر تنظیم می شود ، zerologon نامیده می شود در حالی که بردار اولیه (IV) همیشه باید یک عدد تصادفی باشد.

نحوه محافظت در برابر Zero logon و آسیب پذیری های مشابه

 

این آسیب پذیری خطرناک دارای رتبه  10 از 10 (CVSS v3.1) برای شدت توسط سیستم امتیازدهی مشترک آسیب پذیری (CVSS) است. سوء استفاده های اثبات شده  (POC) شناخته شده است و به احتمال زیاد به زودی شاهد حملات در دنیای واقعی خواهیم بود.

آژانس امنیت سایبر و زیرساخت با صدور بخشنامه اضطراری ، به سازمانهای فدرال غیرنظامی دستور داد بلافاصله همه سرورهای ویندوز آسیب دیده را وصله یا غیرفعال کنند و به سازمانهای غیردولتی نیز هشدار داد تا همین کار را انجام دهند.

مایکروسافت اولین نسخه از دو وصله امنیتی را در آگوست سال 2020 منتشر کرد و لازم است برای همه کنترل کننده های دامنه اعمال شود.

این آسیب پذیری از نقص رمزنگاری شده در پروتکل راه دور Netlogon Microsoft (Ac-Directory Netlogon Remote) (MS-NRPC) سوء استفاده می کند ، که به کاربران اجازه می دهد وارد سرورهایی شوند که از NTLM (NT LAN Manager) استفاده می کنند. بزرگترین مشکل این آسیب پذیری این است که از MS-NRPC برای انتقال برخی از تغییرات حساب مانند گذرواژه نیز استفاده می شود. با بازگشت به اصل خود ، می توان منطقی را برای افزودن این ویژگی مشاهده کرد ، اما عدم اعتبار در منبع درخواست تغییر این گذرواژه ها به یک مسئله امنیتی مهم تبدیل شده است.

هشدار آسیب پذیری CVE-2020-1472 Netlogon Elevation of Privilege که باعث دسترسی ادمین شبکه می شود

 

از این بدتر اینکه رمزگذاری که به MS-NRPC اضافه شد عاقلانه انتخاب نشده است. در سال 1883 ، رمزنگار هلندی ، آگوست کرخوف ، 2 مقاله با عنوان La Cryptographie Militaire (رمزنگاری نظامی) منتشر کرد که 6 اصل کلیدی در طراحی سیستم های رمزنگاری را بیان می کند. مشهورترین آنها Kerckhoff’s Principle بیان می کند که ما باید کلید رمزنگاری خود را مخفی نگه داریم ، اما برای محافظت از داده های خود نباید به پنهان کاری الگوریتم اعتماد کنیم. یا به عبارت امروزی ما باید از الگوریتم های کاملاً شناخته شده ، آزمایش شده و کاملاً اثبات شده استفاده کنیم.

الگوریتمی که در ابتدا برای رمزگذاری فرآیند ورود به سیستم در Windows NT استفاده می شد 2DES بود که اکنون می دانیم دارای مشکلاتی است. امروز MS-NRPC از استاندارد رمزگذاری پیشرفته (AES) استفاده می کند ، که معیار رمزگذاری در نظر گرفته شده است. علاوه بر انتخاب الگوریتم قوی اثبات شده ، باید تنظیمات اضافی نیز برای اطمینان از قدرت کافی انتخاب شود. MS-NRPC از تنظیمات مبهمی استفاده می کند که به AES-CFB8 معروف است (استاندارد رمزگذاری پیشرفته – پشتیبان رمزگذاری 8 بیتی). AES-CFB8 مبهم است زیرا به خوبی شناخته شده نیست و آزمایش خوبی ندارد. استفاده از AES-CFB8 در MS-NRPC با بردار مقداردهی (IV) مسئله ای دارد که باید یک عدد تصادفی باشد ، اما MS-NRPC آن را با مقدار 16 بایت صفر ثابت کرده است. این چیزی غیر تصادفی است. قابل پیش بینی است. رمزنگاری اغلب در جایی که قابل پیش بینی باشد شکسته می شود.

چگونه از این آسیب پذیری اطلاع داریم

این آسیب پذیری در سپتامبر سال 2020 توسط تام تروورت ، محقق هلندی شاغل در Secura اعلام شد. این آسیب پذیری در ماه اوت وصله شد ، اما تا زمانی که محقق گزارش خود را در ماه سپتامبر منتشر کرد ، ما شروع به دیدن POC ها و سایر فعالیت ها کردیم. پس از مقاله Tervoort جزئیات کشف او و روند منجر به آن است. در طی تحقیقات خود متوجه کمبود قابل توجهی اطلاعات در مورد MS-NRPC شد. Tervoort با شیفتگی اطلاعات بیشتر را دنبال کرد.

در حالی که Tervoort در ابتدا به دنبال حمله شخصی در وسط بود ، آسیب پذیری دیگری را که در CVE-2020-1424 ارائه شده است ، کشف کرد. وی در ادامه تحقیقات خود ، آنچه را که اکنون به نام Zerologon معروف است شناسایی کرد. بخش مهم کشف وی این است که مایکروسافت یک نوع رمزنگاری منحصر به فرد را اعمال کرده است که متفاوت از سایر پروتکل های RPC است. در زمان ویندوز NT ، حساب های اختصاص داده شده به رایانه به عنوان اصلی درجه یک مشخص نمی شدند ، بنابراین مایکروسافت نمی توانست از Kerberos یا NTLM استاندارد برای تأیید اعتبار حساب های رایانه یا ماشین استفاده کند. در نتیجه ، توسعه دهندگان گزینه دیگری را تولید کردند. ایجاد کد و پروتکل هایی برای رمزگذاری که قابلیت شکستن ندارند ، فوق العاده دشوار است. در حقیقت ، ممکن است مدت زمان باورنکردنی زیادی طول بکشد تا نقص ها برطرف شود ، همانطور که در اینجا وجود دارد.

داستان سال 2020 : کار از راه دور قسمت دوم

حمله چگونه کار می کند

این آسیب پذیری به هکر امکان می دهد کنترل یک کنترل کننده دامنه (DC) ، از جمله ریشه DC را بدست گیرد. این کار با تغییر یا حذف رمز عبور برای یک حساب سرویس در کنترل کننده انجام می شود. پس از آن هکر می تواند به راحتی خدمات را انکار کند یا کل شبکه را در اختیار بگیرد و مالک آن شود.

برای اینکه مهاجمان از این آسیب پذیری سو استفاده کنند ، باید بتوانند جلسه TCP را با DC تنظیم کنند. اگر از نظر جسمی داخل شبکه باشند ، می توانند در میز کاربری یا درگاه باز در مکانی مانند اتاق کنفرانس باشند. این سوء استفاده ها به عنوان حملات داخلی شناخته می شوند ،گران ترین حملات برای یک تجارت امروز. آنها را می توان از خارج از شبکه ایجاد کرد تا زمانی که بتوانند جای خود را برای ایجاد جلسه TCP برای کنترل کننده باز کنند.

با استفاده از AES-CFB8 با IV ثابت 16 بایت صفر ، Tervoort کشف کرد که احتمال دارد یکی از هر 256 کلید مورد استفاده یکی از متن رمز را ایجاد کند که مقدار آن صفر است. این تعداد کلید بسیار کمی است که مهاجم سعی در ایجاد رمز برای همه صفرها دارد. حداکثر فقط 2-3 ثانیه طول می کشد تا کامپیوتر هکر این کار را انجام دهد.

استفاده از AES-CFB8 با IV ثابت 16 بایت صفر

پس چرا این مهم است؟

اگر دستگاه برقراری ارتباط با DC به کاربری تعلق دارد که طبق معمول روز را پشت سر می گذارد ، مسئله واقعی وجود ندارد. این متن رمزگذاری شده ضعیف ایجاد شده است ، اما روند تأیید اعتبار شبکه کار خواهد کرد. این مشکل فقط زمانی نمایان می شود که یک هکر قصد سو ء استفاده از سیستم را دارد.

در حمله اثبات شده توسط Tervoort ، هکر ابتدا باید اعتبار یا رمز ورود مشتری را در شبکه جعل کند. به دلیل اجرای ضعیف IV در MS-NRPC ، فقط 256 تلاش برای درست کردن آن طول می کشد. به طور معمول حساب کاربر پس از سه بار در حدس زدن رمز ورود قفل می شود ، اما این مورد برای رایانه یا حساب ماشین صدق نمی کند. وقتی کامپیوتر وارد سیستم می شود ، محدودیتی در تلاش برای رمز عبور اشتباه وجود ندارد ، که باعث می شود هکرها در مدت زمان کوتاهی تلاش مداوم داشته باشند. آنها باید یکی از کلیدهایی را پیدا کنند که متن صفر رمزگذاری را تولید کند. .

وقتی هکرها هویت یک رایانه در شبکه را جعل کردند ، چه کاری می توانند انجام دهند؟ با انجام اولین مرحله جعل هویت ، مهاجم کلید رمزگذاری واقعی جلسه را نمی داند. مهاجمان تنها با زدن یکی از 256 کلید که متن کاملاً صفر رمزنگاری را تولید می کند ، فقط توانسته اند هویت خود را جعل کنند. مرحله بعدی غیرفعال کردن “امضا و مهر و موم” است.

امضای RPC و مهر و موم مکانیسم مورد استفاده برای رمزگذاری حمل و نقل در MS-NRPC است. به نظر می رسد این یک فرآیند منطقی است زیرا ما باید بیشتر داده های خود را در حین رمزگذاری قرار دهیم ، اما در MS-NRPC این یک ویژگی اختیاری است که با تنظیم نکردن یک پرچم در هدر پیام غیرفعال می شود. پس از خاموش شدن امضا و مهر و موم کردن ، پیام ها به وضوح ارسال می شوند و هکرها اکنون می توانند هر اقدامی را که می خواهند انجام دهند ، از جمله حذف رمز عبور یا تنظیم آن روی یک مقدار دیگر. وصله ای از طرف مایکروسافت در فوریه سال 2021 برای امضا و مهر و موم کردن وجود دارد.

مرحله سوم تغییر رمز ورود به حساب کاربری جعلی است. موثرترین دستگاهی که کلاهبرداری می شود ، سرور AD ، ترجیحاً حتی سرور AD root است. برای تغییر رمز عبور ، مهاجمان از پیام NetServerPasswordSet2 در MS-NRPC استفاده می کنند. تغییر رمز ورود به سادگی با ارسال فریم با رمز جدید ترجیحی امکان پذیر است. ساده ترین روش حذف رمز عبور یا تنظیم آن روی یک مقدار خالی است – هکر اکنون می تواند از طریق یک روند عادی وارد سیستم شود.

NetrServer چیست

 

اگر این حمله یک رایانه تصادفی را در شبکه هدف قرار دهد ، آن کامپیوتر نمی تواند وارد سیستم شود. بنابراین ، اولین پیامد این حمله صرفاً انکار سرویس حمله به آن رایانه است.

تأثیر جهانی

اکنون چندین بهره برداری عمومی PoC در دسترس است و اگر سرورهای AD وصله نشده باشند ، می تواند خسارات زیادی به مشاغل وارد کند ، زیرا این حمله می تواند برای تزریق باج افزار به شبکه استفاده شود.

ابزارهایی برای بررسی حساسیت سرورهای شما وجود دارد. Tervoort و Secura ابزاری را در GitHub منتشر کردند تا بررسی کند وصله های کنترل شده دامنه شما اصلاح شده اند یا اینکه آیا آسیب پذیر هستند.

پچ CVE-2020-1472

در آگوست 2020 ، مایکروسافت وصله ای را برای CVE-2020-1472 (Zerologon) منتشر کرد. همه سرورهای AD (2008 R2 و بالاتر) باید در اسرع وقت وصله شوند. اما متوسط ​​زمان انتشار پچ تا استقرار هنوز خیلی طولانی است. محققان اظهار داشتند که در یک سازمان متوسط ​​، بعد از انتشار پچ بین 60 تا 150 روز (حدود 5 ماه) طول می کشد تا در نهایت نصب شود. این به عنوان میانگین زمان وصله (MTTP) شناخته می شود.

علاوه بر این ، متأسفانه وصله جدید صادر شده رفع عیب جهانی برای این مشکل نیست. مایکروسافت در حال برنامه ریزی است که مرحله دوم وصله را که شامل قابلیت های اجرایی است ، در اوایل فوریه 2021 منتشر کند. در آن زمان ، همه دستگاه ها باید از حالت کانال امن استفاده کنند و در صورت عدم استفاده ، از دسترسی آنها محروم خواهد شد . اگر دستگاه های قدیمی غیر سازگار وجود داشته باشند ، باید به صورت دستی به خط مشی گروهی اضافه شوند که صریحاً اجازه دسترسی به دستگاه های غیر سازگار را می دهد.

لینک مطلب

 

هشدار FBI در خصوص شیوع باج افزار Egregor

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code