در سپتامبر 2020 طی انتشار مقالهای در Secura، اعلام شد که یک آسیبپذیری پروتکل ریموت Netlogon اکتیو دایرکتوری در تمامی نسخههای ویندوز سرور موجود است که اکنون به عنوان آسیبپذیری zerologon شناخته میشود. این آسیبپذیری دامین کنترلرهای سازمانهای بزرگ را مورد تهدید قرار میدهد و از نقص در پروتکل احرازهویت ناشی میشود.
درواقع تعداد زیادی درخواست احرازهویت از طریق Netlogon به دامین کنترلر ارسال میشود که برای یک ورود موفقیت آمیز، به درخواست کلاینت با اعتبار صفر و یک کلید خوب تصادفی انتخاب شده توسط سرور نیاز دارد. زمانیکه تعداد زیادی پیام با قسمتهای مختلف پرشده از صفر ارسال میشوند، این امکان برای مهاجمان فراهم میآید که رمز رایانه کنترلکننده دامنه را تغییر دهند و کاربران وارد سرورهایی شوند که از NTLM استفاده میکنند.
نامگذاری این آسیبپذیری نیز به این دلیل انجام گرفته است که در فرآیند ورود، مقداردهی اولیه باید توسط یک عدد تصادفی و رندوم انجام گیرد، در حالی که همانطور که اشاره شد، سیستمهای دارای این آسیبپذیری فرایند ورود را با عدد صفر مقداردهی میکنند. به دلیل همین فرایند، عنوان zerologon به این آسیب پذیری اختصاص یافته است. ابزارهایی نیز در گیتهاب منتشر شدهاند که با بررسی سرورها، مشخص میکنند که آیا دامین کنترلرها وصله شدهاند و یا هنوز هم آسیبپذیر هستند.
در پی این اتفاق، مایکروسافت در ماه آگوست 2020 دو وصله منتشر کرد و توصیه کرد که بر روی تمامی دامنههای کنترلر اعمال شوند. تمامی زیرساخت های امنیتی و امنیت سایبری نیز با صدور بخشنامه ضروری اعلام کردند که تمامی ویندوز سرورهای آسیبدیده فورا غیرفعال و یا وصله شوند. محققان اعلام کردهاند که زمان متوسط نصب و وصله بین 60 تا 150 روز است و مدت زمان زیادی را میطلبد. علاوه بر این مورد، متاسفانه وصله منتشر شده، مشکل عمومی را رفع نکرده است و مایکروسافت در نظر دارد در اوایل فوریه 2021 مرحله دوم این وصله را هم که شامل قابلیتهای اجرایی است، منتشر کند.
https://www.trendmicro.com/en_us/what-is/zerologon.html
/https://www.cynet.com/zerologon
/https://www.zdnet.com/article/microsoft-says-it-detected-active-attacks-leveraging-zerologon-vulnerability
Leave a Reply