09123369519شنبه تا پنجشنبه 9 الی 18
هشدار مجدد در خصوص آسیب‌پذیری Zerologon

هشدار مجدد در خصوص آسیب‌پذیری Zerologon

بر اساس گزارش‌های واصله به شرکت مهندسی شبکه گستر، در هفته‌های اخیر برخی مؤسسات هدف حملاتی قرار گرفته‌اند که در جریان آنها مهاجمان با سوءاستفاده از آسیب‌پذیری CVE-2020-1472 – معروف به Zerologon – اقدام به توزیع باج‌افزارهای با عملکرد Wiper در شبکه اهداف خود می‌کنند.

همان‌طور که پیش‌تر در تاریخ ۵ مهر ماه هشدار داده شد Zerologon ضعفی از نوع “ترفیع امتیازی” (Elevation of Privilege) است که پودمان Microsoft Netlogon Remote ProtoCol – که با عنوان MS-NRPC نیز شناخته می‌شود – از آن تأثیر می‌پذیرد.

Zerologon مهاجم را قادر می‌سازد تا بدون نیاز به اصالت‌سنجی شدن با اتصال در بستر پودمان MS-NRPC خود را به‌عنوان یک دستگاه عضو دامنه از جمله یک سرور Domain Controller – به اختصار DC – معرفی کرده و موفق به دستیابی به سطح دسترسی Domain Admin و در ادامه انجام مخرب مختلف در سطح دامنه شود.

به‌تازگی مرکز راهبردی افتای ریاست جمهوری نیز اقدام به انتشار هشداری کرده که در آن به تفصیل به راه‌های مقابله با آسیب‌پذیری Zerologon کرده است.

لازم به ذکر است که در حملات گزارش شده به این شرکت، پس از هک و رخنه به شبکه سازمان و بهره‌جویی از آسیب‌پذیری Zerologon، در نهایت مهاجمان اقدام به نصب و اجرای باج‌افزارهای با عملکرد موسوم به Wiper بر روی دستگاه‌ها کرده و در عمل موجب از مختل شدن کامل روند کار سیستم‌ها می‌شوند.

باید توجه داشت اگر چه در بسیاری موارد، کدهای مخرب به کار گرفته شده در حین حمله، توسط محصولات امنیتی قابل شناسایی هستند لیکن با توجه به سطح دسترسی کامل (Administrator) مهاجمان بر روی دستگاه‌های هدف، عملاً امکان تقلیل کنترل‌های امنیتی و نظارتی تعریف شده و دست‌درازی به محصولات نصب شده و در ادامه، نصب هر گونه بدافزار و ابزار مخرب دیگر برای آنها فراهم می‌شود. لذا رعایت موارد زیر در ایمن ماندن از گزند این نوع حملات هدفمند از اهمیت بسزایی برخوردار است:

  • استفاده از ضدویروس قدرتمند و به‌روز با قابلیت نفوذیاب و ضدبهره‌جو (Anti-exploit)
  • استفاده از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حساب‌های کاربری محلی (Local) تحت دامنه (Domain) سیستم عامل و پایگاه‌های داده، به ویژه حساب‌های با سطح دسترسی Administrator/SysAdmin
  • کاهش سطح دسترسی کاربران
  • پرهیز از قابل دسترس کردن سرویس‌های حساسی نظیر MS-SQL و Domain Controller
  • غیرفعال کردن RDP یا حداقل تغییر درگاه پیش‌فرض آن
  • اطمینان از نصب بودن اصلاحیه‌های امنیتی بر روی تمامی دستگاه‌ها
  • ارتقای سیستم‌های عامل از رده خارج
  • استفاده از دیواره آتش در درگاه شبکه
  • فعال‌سازی سیاست‌های مقابله با بدافزارهای “بدون فایل” (Fileless) در محصولات امنیت نقاط پایانی
بستن منو