اگر مدیر سیستمهای ویندوز سرور هستید، از بهروز رسانی سیستمهای خود اطمینان پیدا کنید. جدیدترین بهروز رسانی، یکی از مهمترین آسیبپذیریهای ویندوز سرور را رفع میکند. این باگ بحرانی کنترل کامل دامین را به حمله کننده ناشناس میدهد.
در این مقاله یک آسیبپذیری ویندوز سرور که از جمله آسیب پذیری های بسیار مهم و خطرناک می باشد مورد بررسی باگدشت قرار می گیرد.
حمله کننده با ایجاد کانال امن ارتباطی توسط Netlogon سطح دسترسی روی کنترلر دامین را افزایش میدهد. افزایش سطح دسترسی با استفاده از MS-NRPC(Netlogon Remote Protocol) و از طریق Netlogon Elevation of Privilege Vulnerability صورت میگیرد.
شناسه آسیبپذیری:
CVE-2020-1472
درجه آسیبپذیری:
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Base Score: 10 Critical
سیستمهای آسیبپذیر:
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
توضیحات:
این باگ توسط تام تروورت(Tom Tervoort) از Secura کشف شد. وجود آسیبپذیری افزایش سطح دسترسی، به دلیل استفاده از رمزنگاری ناایمن AES-CFB8 در نشست Netlogon است. این آسیبپذیری به حمله کننده اجازه ایجاد ارتباط با کنترل کننده دامین Netlogon Remote Protocol(MS-NRPC) را میدهد.
طبق نظر محققین امنیت سایبری شرکت Cynet منتشر شده در بلاگ این شرکت: این حمله با استفاده از نقص در پرتکل احرازهویت که صحت و هویت دامین کامپیوتر متصل شده را تایید میکند، اجرا میشود. استفاده نادرست از مد عملیاتی AES این نقص را بوجود میآورد. با استفاده از این آسیبپذیری امکان spoof از اکانت هر کامپیوتری(شامل DC هم میشود) با قرار دادن رمز عبور خالی، فراهم میشود.
جزئیات این آسیبپذیری زمانی که مایکروسافت بهروز رسانی برای این باگ با CVSS 10 را منتشر کرد، انتشار یافت. بعد از افشای PoC، این مسئله به یک نگرانی تبدیل شد.
آژانسهای دولتهای هند، استرالیا، امنیت سایبری آمریکا و CISA با صدور دستورالعمل اضطراری،آژانسهای فدرال را موظف به رفع باگ Zerologon در سریعترین زمان ممکن کردند. طبق نظر Advisories: با فرستان پیامهای Netlogon در حالتی که تمام قسمتها با صفر پرشدهاند، حمله کننده ناشناس میتواند رمزهای عبور کامپیوتر کنترل کننده دامین را که در AD ذخیره شدهاند، تغییر دهد. حمله کننده با این روش، کنترل گواهینامه مدیر سیستم در اختیار میگیرد و سپس رمزعبور اصلی DC را بازیابی میکند.
طبق نظر Secura، اکسپلویت آسیبپذیری پیامدهای زیر را دارد:
- Spoof از اعتبار نامه کلاینت.
- غیرفعال کردن ورود RPC و بستن کامل آن.
- Spoofing a call
- تغییر رمزعبور کامپیوتر AD.
- تغییر رمزعبور مدیر دامین.
طبق تشخیص CISA، این آسیبپذیری با سطح خطر بالا برای Federal Civilian Executive Branch، نیازمند اقدامی فوری و اضطراری برای رفع این باگ است. دامینهای آلوده شده و بهروز رسانی نشده، از شبکه حذف شوند. همچنین Samba نسخههای ۴.۷ و قبلتر که پرتکل شبکه SMB برای سیستمهای لینوکسی را اجرا میکند، به نقص Zerologon آسیبپذیر هستند. بهروز رسانی برای نسخههای آسیبپذیر منتشر شده است.
Cynet علاوه بر توضیح دلیل اصلی وجود این مشکل، جزئیات حیاتی artifacts برای تشخیص اکسپلویت فعال از آسیبپذیری ویندوز سرور را منتشر کرد. این جزئیات شامل الگو خاص حافظه در lsass.exe و ترافیک غیرعادی بین lsass.exe است.