نحوه محافظت در برابر Zero logon و آسیب پذیری های مشابه

برای جلوگیری از تهدیدات زیرساخت های شرکت ، شما باید کارهایی بیش از حفاظت از ایستگاه های کاری انجام دهید.

سپتامبر گذشته ، آژانس امنیت سایبری و زیرساخت های ایالات متحده (CISA) ، که بندرت دستورالعمل هایی را درباره آسیب پذیری های خاص صادر می کند ، به آژانس های دولتی که از Microsoft Windows Active Directory در شبکه های خود استفاده می کنند دستور داد که بلافاصله در همه کنترل کننده های دامنه وصله های امنیتی ارایه شده را نصب کنند. موضوع مربوط به آسیب پذیری CVE-2020-1472 در پروتکل Netlogon ، با عنوان Zerologon است.

مایکروسافت هشدار داد که آسیب پذیری Zerologon (CVE-2020-1472) در Netlogon همچنان مورد بهره برداری قرار می گیرد

رتبه 10.0 در مقیاس خطر

آسیب پذیری Zerologon از یک الگوریتم رمزنگاری غیر قابل اعتماد در مکانیزم احراز هویت Netlogon ناشی می شود. این اجازه می دهد تا یک متجاوز که به شبکه شرکتی متصل شده یا رایانه ای را روی آن آلوده کرده است ، به یک کنترل کننده دامنه حمله کرده و در نهایت کنترل آن را در دست بگیرد.

این آسیب پذیری حداکثر مقدار مقیاس CVSSv3 ، 10.0 را به دست می آورد. مایکروسافت در ماه اوت نسخه ای را منتشر کرد ، اما این یک مطالعه عمیق توسط شرکت امنیت سایبری هلند Secura بود که توجه گسترده ای را به Zerologon و نحوه بهره برداری از آن جلب کرد. چند ساعت پس از انتشار سند ، محققان شروع به انتشار اثبات مفهوم خود (PoC) کردند. طی چند روز ، حداقل چهار نمونه کد منبع باز در GitHub در دسترس بود که نشان می دهد چگونه واقعاً می توان از این آسیب پذیری استفاده کرد.

Zerologon در حملات واقعی

البته ، PoC های موجود در دسترس نه تنها متخصصان infosec ، بلکه مجرمان اینترنتی نیز مورد توجه قرار گرفتند – آنها فقط مجبور بودند کد را در بدافزار خود جایگذاری کنند. به عنوان مثال ، در اوایل ماه اکتبر ، مایکروسافت از تلاش گروه TA505 برای بهره برداری از Zerologon خبر داد. مجرمان اینترنتی بدافزار را به عنوان یک به روزرسانی نرم افزاری مبدل کرده و ابزارهای حمله را بر روی رایانه های آلوده برای استفاده از این آسیب پذیری نصب نمودند.

باج افزار Ryuk اکنون قابلیت گسترش به سایر دستگاه های LAN ویندوز دارد

گروه دیگری ، گروه پشت باج افزار Ryuk ، با استفاده از Zerologon کل شبکه محلی یک شرکت را فقط در مدت 5 ساعت آلوده کرد. این باند با ارسال یک ایمیل فیشینگ استاندارد به کارمند ، منتظر کلیک و آلوده شدن رایانه بر روی آن شده و سپس با استفاده از Zerologon به صورت جانبی از طریق شبکه حرکت کرده و یک باج افزار قابل اجرا برای همه سرورها و ایستگاه های کاری توزیع کرده است.

باور کنید که شما می توانید جلوی حمله های باج افزار ها بگیرید

چرا Zerologon خطرناک است

ممکن است به نظر برسد که بهره برداری از Zerologon نیاز به حمله به یک کنترل کننده دامنه از داخل شبکه محلی دارد. در حقیقت ، مدتهاست که مجرمان اینترنتی می توانند با استفاده از روشهای مختلف حمله به کامپیوتر در شبکه ، از این مانع عبور کنند. این موارد شامل استفاده از فیشینگ ، حملات زنجیره تامین و حتی جک های شبکه بدون مراقبت در مناطق اداری برای بازدید کنندگان است. یک خطر اضافی از طریق اتصالات از راه دور (که تقریباً همه شرکت ها این روزها از آن استفاده می کنند) ناشی می شود – به خصوص اگر کارمندان بتوانند از طریق دستگاه های خود به منابع شرکتی متصل شوند.

مشکل اصلی Zerologon (و سایر آسیب پذیری های فرضی از این نوع) این است که بهره برداری از آن مانند تبادل داده استاندارد بین رایانه در شبکه و یک کنترل کننده دامنه به نظر می رسد. فقط شدت غیرمعمول مبادله باعث ایجاد سوء ظن می شود. به همین ترتیب ، شرکت هایی که فقط به راه حل های امنیتی نقطه پایانی اعتماد می کنند ، شانس کمی در شناسایی چنین حملاتی دارند.

وظیفه رسیدگی به این نوع ناهنجاری ها بهتر است به عهده خدمات تخصصی مانند تشخیص و پاسخ مدیریت  باشد. این مراکز در واقع یک مرکز امنیتی خارجی با آگاهی عمیق از تاکتیک های جرایم اینترنتی است که توصیه های عملی مفصلی را به مشتری ارائه می دهد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code