سپتامبر گذشته، آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA) –که به ندرت در خصوص یک سری آسیبپذیریهای خاص دستورالعمل صادر میکند- به آژانسهای دولتی دستور داد تا برای پچ کردنِ فوریِ تمامی کنترلهای دامنه در شبکههای اینترنتی خود از Microsoft Windows Active Directory استفاده کنند. این موضوع به آسیبپذیریِ CVE-2020-1472 در پروتکل Netlogon موسوم به Zerologon مربوط میشد. در ادامه با ما همراه شوید تا این موضوع را مبسوط مورد بررسی قرار دهیم.
آسیبپذیری Zerologon از الگوریتم نامطمئن کریپتوگرافیک در مکانیزم احراز هویت Netlogon ناشی میشود و همین به مهاجم –که برای حمله به شبکه سازمانی یا کامپیوتر آلودهی روی آن شبکه متصل شده است- اجازه میدهد روی کنترل دامنه نهایت نظارت و کنترل را داشته باشد. این آسیبپذیری حداکثر ارزش مقیاس CVSSv3 scale (یعنی 10.0) را دریافت میکند. مایکروسافت ماه آگست پچی را عرضه کرد اما تنها ظرف چند ساعت از عرضه این داکیومنت محققین شرکت امنیت سایبری هلندی به نام Secura شروع کردند که نشر اثبات مفهومهای خود (PoC). در عرض چند روز دستکم 4 نمونه از کد منبع باز در GitHub موجود شد و این نشان میداد آسیبپذیری مذکور تا چه اندازه میتواند قابلیت اکسپلویت داشته باشد.
Zerologon در حملات واقعی
البته که اثبات مفهومهایی که به طور عمومی قابلیت دسترسی دارند نه تنها توجه متخصصین امنیت اطلاعات را به خود جلب کردند که حتی در این میان مجرمان سایبری هم خوب از آب گلالود ماهی گرفتند-آنها فقط میبایست کد را در بدافزار خود cut و paste میکردند. برای مثال، اوایل ماه اکتبر مایکروسافت اقداماتی را توسط گروه TA505–جهت اکسپلویت کردن Zerologon- گزارش داد. مجرمان سایبری بدافزار خود را آپدیت نرمافزار جا زده بودند و برای اکسپلویتِ این آسیبپذیری شروع کردند به جمعآوری ابزارهای حمله روی کامپیوترهای آلوده. گروه دیگر –همان که دستهای پشت پردهی باجافزار Ryuk است- از Zerologon برای آلوده کردن کل شبکهی لوکال شرکت –تنها در عرض 5 ساعت- استفاده کرد. این گَنگ که برای کارمندی یک ایمیل استاندارد فیشینگ ارسال کرده بود منتظر مانده بود تا ایمیل کلیک شده و کامپیوتر آلوده گردد. بعد از Zerologon برای رخنه به شبکه استفاده کرده و شروع کرده بود به توزیع فایل قابل اجرای باجافزار به همه سرورها و ایستگاههای کار.
چرا Zerologon خطرناک است؟
شاید اینطور به نظر برسد که اکسپلویت Zerologon مستلزم حملهای است به کنترلر دامنه آن هم از داخل شبکه اینترنتی لوکال. اما در واقع مجرمان سایبری مدتهاست میتوانند با استفاده از متودهای مختلف برای سرقت کامپیوتری در شبکه این مانع را دور بزنند. این متودها عبارتند از فیشینگ، حملات زنجیره تأمین و حتی جکهای محافظتنشدهی شبکه در محلهای اداری (برای بازدیدکنندگان). خطر دیگر از جانب کانکشنهای ریموت است که تقریباً همه شرکتها این روزها از آنها استفاده میکنند؛ خصوصاً اگر کارمندان بتوانند از دستگاههای خود به منابع سازمانی متصل شوند. مشکل اصلی با Zerologon (و آسیبپذیریهای فرضی دیگر از همین جنس) این است که اکسپلویت آن شبیه به تبادل داده استاندارد بین یک کامپیوتر شبکه و یک کنترل دامنه است؛ با این تفاوت که شدت غیرمعمول این تبادل استاندارد به نظر نمیرسد!
در نتیجه، شرکتهایی که صرفاً تمرکز خود را روی راهکارهای امنیتی اندپوینت میگذارند به ندرت شانس این را پیدا میکنند که چنین حملاتی را شناسایی کنند. مدیریت چنین ناهنجاریهایی (آن هم از این قِسم) کار سرویسهای تخصصیای چون Kaspersky Managed Detection and Response (MDR) است. این در حقیقت یک مرکز امنیت خارجی است که اطلاعات جامعی از تاکتیکهای مجرمان سایبری دارد و به کلاینت توصیههای عملی با جزئیات ارائه میدهد. این راهکار در دو سطح عرضه میشود: MDR بهینه و MDR متخصص. به محض انتشار جزئیات بیشتر در خصوص Zerologon متخصصین SOC کسپرسکی شروع کردند به ردیابی اقدامات اکسپلویت از این آسیبپذیری (در سرویس MDR). آنها میخواستند مطمئن شوند هر دو نسخه Kaspersky Managed Detection and Response میتواند با این تهدید مبارزه کند.
