حملات ZeroLogon چیست؟

حمله Zerologon چیست؟

زیرولاگان یک آسیب‌پذیری در رمزنگاری فرایند "نت‌لاگان" مایکروسافت است. نت‌لاگان فرایندی است که مدیران شبکه برای شناسایی هویت کاربران ویندوزسرور به عنوان کنترل‌کننده‌های دامنه استفاده می‌کنند.

این آسیب پذیری امکان حمله به کنترل‌کننده‌های دامنه اکتیودایرکتوری مایکروسافت را فراهم می‌کند. در این آسیب پذیری، هکر می‌تواند هر کامپیوتری از جمله هویت کنترل‌کننده دامنه root را با این آسیب‌پذیری جعل کند.

مشخصات فنی زیرولاگان

آسیب‌پذیری زیرولاگان با شناسه CVE-2020-1472 شناخته شده است. در این آسیب‌پذیری، بدلیل نقصی که در فرایند ورود به سیستم وجود دارد، بردار مقداردهی اولیه (IV) بطور مداوم روی صفر تنظیم می‌شود (به همین علت این آسیب‌پذیری زیرولاگان نامیده می‌شود)، در حالیکه بردار اولیه باید یک عدد تصادفی باشد.

شدت آسیب پذیری Zerologon

 سیستم امتیازدهی آسیب‌پذیری CVSS که استانداردی برای ارزیابی و تعیین‌ شدت آسیب‌پذیری‌های کامپیوتری است، شدت این آسیب‌پذیری را 10 از 10 تعیین کرده است.
این آسیب‌پذیری به قدری خطرناک است که آژانس امنیت سایبری و زیرساخت‌های امنیتی از همه نهادهای دولتی درخواست کرد تمام ویندوز سرورهای آسیب‌دیده را غیرفعال کرده یا افزونه منتشرشده را نصب نمایند.

مایکروسافت اولین نسخه موقتی را در آگوست 2020 منتشر کرد و قصد دارد فاز دوم این افزونه را که شامل دستورالعمل‌های اجرایی است در اوایل فوریه سال 2021 منتشر کند.

نحوه کار حمله زیرولاگان:

 این آسیب‌پذیری به هکر اجازه می‌دهد کنترل یک کنترل‌کننده دامنه از جمله root را در اختیار بگیرد. این کار با تغییر یا حذف گذرواژه یک حساب پشتیبانی در کنترلر انجام می‌شود و هکر می‌تواند به راحتی حمله عدم پذیرش سرویس یا denial of service را انجام دهد یا این که کل شبکه را در اختیار گرفته و مالک آن شود.
برای اینکه مهاجمان بتوانند از این آسیب‌پذیری سواستفاده کنند باید بتوانند یک نشست TCP را با کنترل‌کننده دامنه برقرار کنند.

اگر هکرها بصورت فیزیکی به شبکه دسترسی داشته باشند، می‌توانند این ارتباط را توسط سیستم  یک کاربر یا با اتصال به یک پورت باز، در مکانی مانند اتاق کنفرانس انجام دهند.

این دست حملات که تحت عنوان حملات داخلی هم شناخته می‌شوند، با توجه به سطح آسیب رساندن به سیستم، پر هزینه‌ترین حملات به کسب و کارهای امروزی محسوب می‌شوند.

البته حملات زیرولاگان را می‌توان از خارج شبکه هم اجرا کرد. یک مهاجم به‌سادگی و با ارسال تعدادی از پیام‌های نت‌لاگان که در آنها فیلدهای مختلف باصفر پر می‌شوند، می‌تواند گذرواژه کنترل‌کننده دامنه در اکتیودایرکتوری را تغییر دهد.

سپس هکر از این طریق می‌تواند هویت‌نامه ادمین دامنه را بدست آورده و گذرواژه کنترل‌کننده دامنه اصلی را بازیابی کند. این حمله به هرمهاجمی در شبکه داخلی (مانند یک شخص خرابکار یا شخصی که ناآگاهانه دستگاه مهاجم را به پورت شبکه وصل کرده) اجازه می‌دهد بطورکامل دامنه ویندوز را به‌خطر بیاندازد.

پیشگیری از حملات زیرولاگان

 برای پیشگیری از چنین حملاتی لازم است اقداماتی که توسط مایکروسافت ذکر شده انجام شود:

  • کنترل‌کننده‌های دامنه را توسط به‌روزرسانی‌های منتشرشده در تاریخ 11 آگوست 2020 یا بعد از این تاریخ به‌روزرسانی کنید.
  • دستگاه‌هایی که بصورت امکان برقراری ارتباط آسیب‌پذیر دارند (سیستم‌های مبتنی بر ویندوز و اکتیو دایرکتوری) را مشخص کنید و لاگ‌های وقایع رخ داده را بررسی کنید.
  • دستگاه‌های غیرسازگاری که می‌توانند اتصال آسیب‌پذیر به سرور ایجاد کنند را شناسایی کنید.
  • حالت اجرا یا(enforcement mode) را فعال کنید.





درباره آریس

آریس خدمات خود را در زمینه‌های مشاوره، طراحی و راه‌اندازی مراکز داده، تولید محصولات نرم‌افزاری مبتنی بر تکنولوژی‌های متن‌باز و مشاوره نرم‌افزار به مشتریان خود عرضه می‌دارد. امروزه شرکت آریس ارایه دهنده محصولات و خدمات مختلفی است و مشتریان آن را سازمان‌ها و شرکت‌های بزرگ و کوچک تشکیل می‌دهند. 

ارتباط با آریس

 تهران، یوسف آباد، بالاتر از میدان سلماس، خیابان۱۰/۱، پلاک ۵۰، واحد ۳

کد پستی ۱۴۳۱۷۶۳۱۶۵

  ۸۸۰۲۴۶۸۰ (۰۲۱)

  info@arissystem.com