در هفته‌های اخیر برخی مؤسسات هدف حملاتی قرار گرفته‌اند که در جریان آنها مهاجمان با سوءاستفاده از آسیب‌پذیری CVE-2020-1472 – معروف به Zerologon – اقدام به توزیع باج‌افزارهای با عملکرد Wiper در شبکه اهداف خود می‌کنند.

 Zerologon ضعفی از نوع “ترفیع امتیازی” (Elevation of Privilege) است که پودمان Microsoft Netlogon Remote ProtoCol – که با عنوان MS-NRPC نیز شناخته می‌شود – از آن تأثیر می‌پذیرد.

Zerologon مهاجم را قادر می‌سازد تا با اتصال در بستر پودمان MS-NRPC و بدون تشخیص هویت خود را به‌عنوان یک دستگاه عضو دامنه از جمله یک سرور Domain Controller – - معرفی کرده و موفق به دستیابی به سطح دسترسی Admin شده و در ادامه به فعالیت مخرب خود بپردازد.

به‌تازگی مرکز راهبردی افتای ریاست جمهوری نیز اقدام به انتشار هشداری کرده که در آن به تفصیل به راه‌های مقابله با آسیب‌پذیری Zerologon کرده که جزییات آن در لینک زیر قابل دریافت و مطالعه است.

https://www.afta.gov.ir/portal/home/?news/235046/237266/242016/

لازم به ذکر است که در حملات گزارش شده، پس از هک و رخنه به شبکه سازمان و بهره‌جویی از آسیب‌پذیری Zerologon، در نهایت مهاجمان اقدام به نصب و اجرای باج‌افزارهای با عملکرد موسوم به Wiper بر روی دستگاه‌ها کرده و در عمل موجب مختل شدن کامل روند کار سیستم‌ها می‌شوند.

باید توجه داشت اگر چه در بسیاری موارد، کدهای مخرب به کار گرفته شده در حین حمله، توسط محصولات امنیتی قابل شناسایی هستند لیکن با توجه به سطح دسترسی کامل (Administrator) مهاجمان بر روی دستگاه‌های هدف، عملاً امکان حذف ضدویروس نصب شده و در ادامه نصب هر گونه بدافزار برای آنها فراهم می‌شود. لذا مسدودسازی نقطه ورود و ترمیم حفره‌های امنیتی در کنار رعایت موارد زیر در ایمن ماندن از گزند این نوع حملات هدفمند از اهمیت بسزایی برخوردار است:

  • استفاده      از ضدویروس قدرتمند و به‌روز با قابلیت نفوذیاب و ضدبهره‌جو (Anti-exploit)
  • استفاده      از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حساب‌های کاربری محلی (Local) تحت دامنه      (Domain) سیستم عامل و پایگاه‌های داده،      به ویژه حساب‌های با سطح دسترسی      Administrator/SysAdmin
  • کاهش      سطح دسترسی کاربران
  • پرهیز      از قابل دسترس کردن سرویس‌های حساسی نظیر MS-SQL و Domain Controller در بستر
  • غیرفعال      کردن پودمان      RDP یا حداقل تغییر درگاه پیش‌فرض آن
  • اطمینان      از نصب بودن اصلاحیه‌های امنیتی بر روی تمامی دستگاه‌ها
  • ارتقای      سیستم‌های عامل از رده خارج
  • استفاده      از دیواره آتش در درگاه شبکه
  • فعال‌سازی      سیاست‌های مقابله با بدافزارهای “بدون فایل” (Fileless) در      محصولات امنیت نقاط پایانی