هشدار مجدد در خصوص آسیب‌پذیری Zerologon

بر اساس گزارش‌های واصله به شرکت مهندسی شبکه گستر، در هفته‌های اخیر برخی مؤسسات هدف حملاتی قرار گرفته‌اند که در جریان آنها مهاجمان با سوءاستفاده از آسیب‌پذیری CVE-2020-1472 – معروف به Zerologon – اقدام به توزیع باج‌افزارهای با عملکرد Wiper در شبکه اهداف خود می‌کنند.

همان‌طور که پیش‌تر در تاریخ 5 مهر ماه در این خبر هشدار داده شد Zerologon ضعفی از نوع “ترفیع امتیازی” (Elevation of Privilege) است که پودمان Microsoft Netlogon Remote ProtoCol – که با عنوان MS-NRPC نیز شناخته می‌شود – از آن تأثیر می‌پذیرد.

Zerologon مهاجم را قادر می‌سازد تا بدون نیاز به اصالت‌سنجی شدن با اتصال در بستر پودمان MS-NRPC خود را به‌عنوان یک دستگاه عضو دامنه از جمله یک سرور Domain Controller – به اختصار DC – معرفی کرده و موفق به دستیابی به سطح دسترسی Domain Admin و در ادامه انجام مخرب مختلف در سطح دامنه شود.

به‌تازگی مرکز راهبردی افتای ریاست جمهوری با همکاری شرکت مهندسی شبکه گستر نیز اقدام به انتشار هشداری کرده که در آن به تفصیل به راه‌های مقابله با آسیب‌پذیری Zerologon پرداخته شده است؛ جزییات آن در لینک زیر قابل دریافت و مطالعه است.

https://www.afta.gov.ir/portal/home/?news/235046/237266/242016

لازم به ذکر است که در حملات گزارش شده به این شرکت، پس از هک و رخنه به شبکه سازمان و بهره‌جویی از آسیب‌پذیری Zerologon، در نهایت مهاجمان اقدام به نصب و اجرای باج‌افزارهای با عملکرد موسوم به Wiper بر روی دستگاه‌ها کرده و در عمل موجب مختل شدن کامل روند کار سیستم‌ها می‌شوند.

باید توجه داشت اگر چه در بسیاری موارد، کدهای مخرب به کار گرفته شده در حین حمله، توسط محصولات امنیتی قابل شناسایی هستند لیکن با توجه به سطح دسترسی کامل (Administrator) مهاجمان بر روی دستگاه‌های هدف، عملاً امکان تقلیل کنترل‌های امنیتی و نظارتی تعریف شده و دست‌درازی به محصولات نصب شده و در ادامه، نصب هر گونه بدافزار و ابزار مخرب دیگر برای آنها فراهم می‌شود. لذا مسدودسازی نقطه ورود و ترمیم حفره‌های امنیتی – در اینجا Zerologon – در کنار رعایت موارد زیر در ایمن ماندن از گزند این نوع حملات هدفمند از اهمیت بسزایی برخوردار است:

• استفاده از ضدویروس قدرتمند و به‌روز با قابلیت نفوذیاب و ضدبهره‌جو (Anti-exploit)
• استفاده از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حساب‌های کاربری محلی (Local) تحت دامنه (Domain) سیستم عامل و پایگاه‌های داده، به ویژه حساب‌های با سطح دسترسی Administrator/SysAdmin
• کاهش سطح دسترسی کاربران
• پرهیز از قابل دسترس کردن سرویس‌های حساسی نظیر MS-SQL و Domain Controller در بستر اینترنت
• غیرفعال کردن پودمان RDP یا حداقل تغییر درگاه پیش‌فرض آن
• اطمینان از نصب بودن اصلاحیه‌های امنیتی بر روی تمامی دستگاه‌ها
• ارتقای سیستم‌های عامل از رده خارج
• استفاده از دیواره آتش در درگاه شبکه
• فعال‌سازی سیاست‌های مقابله با بدافزارهای “بدون فایل” (Fileless) در محصولات امنیت نقاط پایانی بر اساس سیاست‌های پیشنهادی شرکت مهندسی شبکه گستر

شماره تلفن 42052 در ساعات اداری و سامانه خدمات پس از فروش و پشتیبانی شرکت مهندسی شبکه گستر به نشانی my.shabakeh.net در طول شبانه روز در اختیار مشترکین گرامی است تا مشکلات و مسائل خود را مطرح کرده و پاسخ‌ها و راهنمایی‌های لازم را دریافت نمایند.