در هفتههای اخیر برخی مؤسسات هدف حملاتی قرار گرفتهاند که در جریان آنها مهاجمان با سوءاستفاده از آسیبپذیری CVE-2020-1472 – معروف به Zerologon – اقدام به توزیع باجافزارهای با عملکرد Wiper در شبکه اهداف خود میکنند.
Zerologon ضعفی از نوع “ترفیع امتیازی” (Elevation of Privilege) است که پودمان Microsoft Netlogon Remote ProtoCol – که با عنوان MS-NRPC نیز شناخته میشود – از آن تأثیر میپذیرد.
Zerologon مهاجم را قادر میسازد تا با اتصال در بستر پودمان MS-NRPC و بدون تشخیص هویت خود را بهعنوان یک دستگاه عضو دامنه از جمله یک سرور Domain Controller – - معرفی کرده و موفق به دستیابی به سطح دسترسی Admin شده و در ادامه به فعالیت مخرب خود بپردازد.
بهتازگی مرکز راهبردی افتای ریاست جمهوری نیز اقدام به انتشار هشداری کرده که در آن به تفصیل به راههای مقابله با آسیبپذیری Zerologon کرده که جزییات آن در لینک زیر قابل دریافت و مطالعه است.
https://www.afta.gov.ir/portal/home/?news/235046/237266/242016/
لازم به ذکر است که در حملات گزارش شده، پس از هک و رخنه به شبکه سازمان و بهرهجویی از آسیبپذیری Zerologon، در نهایت مهاجمان اقدام به نصب و اجرای باجافزارهای با عملکرد موسوم به Wiper بر روی دستگاهها کرده و در عمل موجب مختل شدن کامل روند کار سیستمها میشوند.
باید توجه داشت اگر چه در بسیاری موارد، کدهای مخرب به کار گرفته شده در حین حمله، توسط محصولات امنیتی قابل شناسایی هستند لیکن با توجه به سطح دسترسی کامل (Administrator) مهاجمان بر روی دستگاههای هدف، عملاً امکان حذف ضدویروس نصب شده و در ادامه نصب هر گونه بدافزار برای آنها فراهم میشود. لذا مسدودسازی نقطه ورود و ترمیم حفرههای امنیتی در کنار رعایت موارد زیر در ایمن ماندن از گزند این نوع حملات هدفمند از اهمیت بسزایی برخوردار است:
- استفاده از ضدویروس قدرتمند و بهروز با قابلیت نفوذیاب و ضدبهرهجو (Anti-exploit)
- استفاده از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حسابهای کاربری محلی (Local) تحت دامنه (Domain) سیستم عامل و پایگاههای داده، به ویژه حسابهای با سطح دسترسی Administrator/SysAdmin
- کاهش سطح دسترسی کاربران
- پرهیز از قابل دسترس کردن سرویسهای حساسی نظیر MS-SQL و Domain Controller در بستر
- غیرفعال کردن پودمان RDP یا حداقل تغییر درگاه پیشفرض آن
- اطمینان از نصب بودن اصلاحیههای امنیتی بر روی تمامی دستگاهها
- ارتقای سیستمهای عامل از رده خارج
- استفاده از دیواره آتش در درگاه شبکه
- فعالسازی سیاستهای مقابله با بدافزارهای “بدون فایل” (Fileless) در محصولات امنیت نقاط پایانی
دیدگاه خود را بنویسید