سوءاستفاده مهاجمان از آسیب‌پذیری Zerologon

روابط عمومی

5 سال پیش

مهاجمان در حال بهره‌جویی (Exploit) از آسیب‌پذیری CVE-2020-1472 (معروف به Zerologon) هستند.

Zerologon ضعفی از نوع “ترفیع امتیازی” (Elevation of Privilege) است که پودمان Microsoft Netlogon Remote ProtoCol – که با نام MS-NRPC نیز شناخته می‌شود – از آن تأثیر می‌پذیرد.

Zerologon مهاجم را قادر می‌سازد تا بدون نیاز به اصالت‌سنجی شدن با اتصال در بستر پودمان MS-NRPC خود را به‌عنوان یک دستگاه عضو دامنه از جمله یک سرور Domain Controller – به اختصار DC – معرفی کرده و موفق به دستیابی به سطح دسترسی Administrator در سطح دامنه شود.

بر طبق استاندارد CVSS، شدت آسیب‌پذیری Zerologon،و10 از 10 گزارش شده است.

به گزارش شرکت مهندسی شبکه گستر، مایکروسافت اصلاحیه Zerologon را برای سیستم‌های عامل زیر در 21 مرداد ماه سال جاری به همراه مجموعه اصلاحیه‌های ماه آگوست خود منتشر کرد.

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

مایکروسافت اطلاعات سه نسخه از فایل مخربی با عنوان SharpZeroLogon.exe را منتشر کرده که به گفته این شرکت در جریان حملات مهاجمان به منظور بهره‌جویی از Zerologon مورد استفاده قرار گرفته است. نمونه‌های فایل مذکور با نام‌های زیر قابل شناسایی است.

درهم‌سـاز MD5	مک‌آفی	عـنـوان شـنـاسـایـی بیت دیفندر	سوفوس
4bc217374731ae8289936ba2e422af76	Artemis!4BC217374731	Generic.Exploit.CVE-2020-1472.5.D06A0C20	Exp/20201472-A
d2d9898666f79d1a372aaf3abf3a3782	RDN/Generic.dx	Generic.Exploit.CVE-2020-1472.5.4EA789BF	Exp/20201472-A
18ef846b444726a747a4b107acb88752	RDN/Generic.dx	Generic.Exploit.CVE-2020-1472.5.B14B7EC8	Exp/20201472-A

شرکت سکورا نیز ابزاری برای شناسایی سرورهای آسیب‌پذیر به Zerologon عرضه کرده که از طریق لینک زیر قابل دریافت است.

https://github.com/SecuraBV/CVE-2020-1472

جزییات بیشتر در خصوص Zerologon و اصلاحیه آن در لینک زیر قابل مطالعه است.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472