هشدار مجدد در خصوص آسیبپذیری Zerologon
بر اساس گزارشهای واصله به شرکت مهندسی شبکه گستر، در هفتههای اخیر برخی مؤسسات هدف حملاتی قرار گرفتهاند که در جریان آنها مهاجمان با سوءاستفاده از آسیبپذیری CVE-2020-1472 – معروف به Zerologon – اقدام به توزیع باجافزارهای با عملکرد Wiper در شبکه اهداف خود میکنند.
همانطور که پیشتر در تاریخ 5 مهر ماه در این خبر هشدار داده شد Zerologon ضعفی از نوع “ترفیع امتیازی” (Elevation of Privilege) است که پودمان Microsoft Netlogon Remote ProtoCol – که با عنوان MS-NRPC نیز شناخته میشود – از آن تأثیر میپذیرد.
Zerologon مهاجم را قادر میسازد تا بدون نیاز به اصالتسنجی شدن با اتصال در بستر پودمان MS-NRPC خود را بهعنوان یک دستگاه عضو دامنه از جمله یک سرور Domain Controller – به اختصار DC – معرفی کرده و موفق به دستیابی به سطح دسترسی Domain Admin و در ادامه انجام مخرب مختلف در سطح دامنه شود.
بهتازگی مرکز راهبردی افتای ریاست جمهوری با همکاری شرکت مهندسی شبکه گستر نیز اقدام به انتشار هشداری کرده که در آن به تفصیل به راههای مقابله با آسیبپذیری Zerologon پرداخته شده است؛ جزییات آن در لینک زیر قابل دریافت و مطالعه است.
https://www.afta.gov.ir/portal/home/?news/235046/237266/242016
لازم به ذکر است که در حملات گزارش شده به این شرکت، پس از هک و رخنه به شبکه سازمان و بهرهجویی از آسیبپذیری Zerologon، در نهایت مهاجمان اقدام به نصب و اجرای باجافزارهای با عملکرد موسوم به Wiper بر روی دستگاهها کرده و در عمل موجب مختل شدن کامل روند کار سیستمها میشوند.
باید توجه داشت اگر چه در بسیاری موارد، کدهای مخرب به کار گرفته شده در حین حمله، توسط محصولات امنیتی قابل شناسایی هستند لیکن با توجه به سطح دسترسی کامل (Administrator) مهاجمان بر روی دستگاههای هدف، عملاً امکان تقلیل کنترلهای امنیتی و نظارتی تعریف شده و دستدرازی به محصولات نصب شده و در ادامه، نصب هر گونه بدافزار و ابزار مخرب دیگر برای آنها فراهم میشود. لذا مسدودسازی نقطه ورود و ترمیم حفرههای امنیتی – در اینجا Zerologon – در کنار رعایت موارد زیر در ایمن ماندن از گزند این نوع حملات هدفمند از اهمیت بسزایی برخوردار است:
- استفاده از ضدویروس قدرتمند و بهروز با قابلیت نفوذیاب و ضدبهرهجو (Anti-exploit)
- استفاده از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حسابهای کاربری محلی (Local) تحت دامنه (Domain) سیستم عامل و پایگاههای داده، به ویژه حسابهای با سطح دسترسی Administrator/SysAdmin
- کاهش سطح دسترسی کاربران
- پرهیز از قابل دسترس کردن سرویسهای حساسی نظیر MS-SQL و Domain Controller در بستر اینترنت
- غیرفعال کردن پودمان RDP یا حداقل تغییر درگاه پیشفرض آن
- اطمینان از نصب بودن اصلاحیههای امنیتی بر روی تمامی دستگاهها
- ارتقای سیستمهای عامل از رده خارج
- استفاده از دیواره آتش در درگاه شبکه
- فعالسازی سیاستهای مقابله با بدافزارهای “بدون فایل” (Fileless) در محصولات امنیت نقاط پایانی بر اساس سیاستهای پیشنهادی شرکت مهندسی شبکه گستر
شماره تلفن 42052 در ساعات اداری و سامانه خدمات پس از فروش و پشتیبانی شرکت مهندسی شبکه گستر به نشانی my.shabakeh.net در طول شبانه روز در اختیار مشترکین گرامی است تا مشکلات و مسائل خود را مطرح کرده و پاسخها و راهنماییهای لازم را دریافت نمایند.