آسیب‌پذیری ZeroLogon در Domain Controller و نحوه رفع آن

 

در روزهای گذشته خبر آسیب‌پذیری با شناسه CVE-2020-1472 و با نام ZeroLogon برای Domain Controller شبکه‌های ویندوزی توسط شرکت  secura منتشر شد.
آسیب‌پذیری ZeroLogon‌ که دارای امتیاز CVSS 10 (بالاترین امتیاز ممکن) است که در ویندوزهای سرور از 2008R2 تا 2019 وجود دارد. بهره‌جویی  این آسیب‌پذیری از راه دور قابل انجام است و نیاز به هیچ گونه احراز هویت ندارد. مهاجم به کمک این آسیب‌پذیری می‌تواند به دسترسی Domain Admin هم دست پیدا کند.
در این گزارش به زبان ساده خطرات این آسیب‌پذیری، نحوه بررسی آسیب‌پذیر بودن سیستم و به روزرسانی آن را شرح خواهیم داد.

 

آسیب‌پذیر‌ی CVE-2020-1472 چه آثار مخربی دارد؟
این آسیب‌پذیری چون به مهاجم دسترسی Domain Admin می‌دهد که دسترسی بسیار بالایی در شبکه‌های ویندوزی است و مهاجم به کمک این دسترسی عملاً می‌تواند علاوه بر سرور DC آسیب پذیر روی تمام سیستم‌های عضو دامنه نیز دسترسی پیدا کند، بسیار مخرب است.

 

آیا سیستم من آسیب‌پذیر است؟
برای بررسی آسیب پذیر بودن یک سیستم، دو روش وجود دارد.
روش اول : به کمک mimikatz
قابلیت تشخیص و بهره‌جویی ZeroLogon از نسخه 2.2.0-20200918 به mimikatz اضافه شده است. ابتدا جدیدترین نسخه mimikatz را از اینجا  دانلود کنید. فایل دانلود شده احتمالاً توسط آنتی ویروس و مرورگر به عنوان فایل مخرب شناسایی می شود، نگران نباشید و آن را اجرا کنید.
در صفحه باز شده دستور زیر را وارد کنید.
lsadump::zerologon /target:dc1.test.local /ntlm /null /account:dc$
اگر خروجی زیر را مشاهده کردید DC شما آسیب پذیر است.

 

به کمک اسکریپت پایتون
یک فایل پایتون توسط Secura در گیت هاب  منتشر شده است که برای بررسی یک DC باید این فایل را روی یک سیستم لینوکسی (مثلا کالی لینوکس) به شکل زیر اجرا کنید.
phyton3 zerologon_tester.py DC_ NetBIOS_Name DC_ip_Address
در صورتی که سرور آسیب پذیر باشد پیامی مشابه تصویر زیر مشاهده خواهید کرد.

 

نحوه مقابله
برای مقابله با این آسیب‌پذیری باید ویندوز خود را طبق یکی از روش‌های زیر به روز رسانی کنید.
4-1- روش اول - به روزرسانی خودکار (توصیه می شود)
 سیستم خود را به اینترنت متصل کنید و در منوی استارت ویندوز update را تایپ کنید و روی windows update و در صفحه بازشده Check for updates  (شکل 1) کلیک کنید و مدت طولانی منتظر بمانید تا ویندوز شما آپدیت شود و درنهایت سیستم را Restart کنید.

شکل 1- شروع بروزرسانی ویندوز

روش دوم - به روزرسانی دستی
اگر به هر دلیلی امکان به روزرسانی خودکار برای شما وجود ندارد از این روش استفاده کنید.
ابتدا با نوشتن winver در run یا منو استارت ویندوز نسخه دقیق ویندوز را تعیین کنید. پس از تعیین نسخه دقیق ویندوز به صفحه توضیحات آسیب‌پذیری بروید  و در بخش Security Updates متناسب با نسخه ویندوز خود آپدیت مناسب را انتخاب کنید و با کلیک روی Security Update به صفحه دانلود به روزرسانی بروید.
در صفحه دانلود بازهم متناسب با نسخه ویندوز خود روی دکمه Download کلیک کنید (شکل 2).

شکل 2- صفحه دانلود آپدیت

در صفحه باز شده روی لینک آپدیت مورد نظر (شکل 3) کلیک کنید تا دانلود فایل آغاز شود.

شکل 3- لینک دانلود آپدیت

پس از دانلود، فایل دریافتی که با نامی مشابه windows10.0-kbxxx-xxxxxxxxxxxxxx.msu است را اجرا کنید و روی Yes کلیک کنید تا نصب آپدیت آغاز شود. در پایان پیام شکل 4 نمایش داده می‌شود و روی Restart Now کلید کنید تا نصب تکمیل شود.

شکل 4- پایان نصب آپدیت

 

با روش‌های زیر از نصب به روزرسانی اطمینان حاصل کنید.
5-1- روش اول
فایل نصب آپدیت را دوباره اجرا کنید اگر نصب باشد به شما پیام شکل 5 نمایش داده می‌شود

شکل 5- پیام نصب بودن آپدیت

روش دوم
برای بررسی نصب بودن به روزرسانی روی یک سیستم update history را در منو استارت ویندوز تایپ کنید و در برگه View update history به دنبال نام آن مثلاً KB4565349 بگردید (شکل 6). توجه داشته باشید که بسته به نسخه ویندوز ممکن است نام به‌روزرسانی متفاوت باشد. مثلاً برای ویندوز 2019 نام به روزرسانی KB4565503 است این نام را در ابتدای نام فایل به روزرسانی دانلود شده می توانید ببینید در جدول 1 نام آپدیت‌ها بر اساس نسخه ویندوز آورده شده است.

شکل 6- بررسی نصب آپدیت

 

جدول 1- جدول نام آپدیت‌ها بر اساس نسخه ویندوز
                                                                                                                                                                                                                                                                        

Product	Article	Download	Supersedence
Windows Server 2008 R2 for x64-based Systems Service Pack 1	4571729	Monthly Rollup			4565524
	4571719	Security Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)	4571729	Monthly Rollup			4565524
	4571719	Security Only
Windows Server 2012	4571736	Monthly Rollup			4565537
	4571702	Security Only
Windows Server 2012 (Server Core installation)	4571736	Monthly Rollup			4565537
	4571702	Security Only
Windows Server 2012 R2	4571703	Monthly Rollup			4565541
	4571723	Security Only
Windows Server 2012 R2 (Server Core installation)	4571703	Monthly Rollup			4565541
	4571723	Security Only
Windows Server 2016	4571694	Security Update			4565511
Windows Server 2016  (Server Core installation)	4571694	Security Update			4565511
Windows Server 2019	4565349	Security Update			4558998
Windows Server 2019  (Server Core installation)	4565349	Security Update			4558998
Windows Server, version 1903 (Server Core installation)	4565351	Security Update			4565483
Windows Server, version 1909 (Server Core installation)	4565351	Security Update			4565483
Windows Server, version 2004 (Server Core installation)	4566782	Security Update			4565503

 

روش سوم
در منوی استارت appwiz.cpl را تایپ کنید و آن را اجرا نمایید در سمت چپ روی View installed updates کلیک کنید در این صفحه دنبال آپدیت بگردید، از قسمت جستجوی بالا هم می‌توانید کمک بگیرید (شکل 7).

شکل 7-بررسی نصب آپدیت روش دوم

روش چهارم (حرفه‌ای)
در powershell  دستور Get-HotFix –Id با نام مناسب KB ( طبق جدول 1) را وارد کنید اگر آپدیت نصب شده باشد خروجی باید به شکل 8 باشد وگرنه پیام خطا نمایش داده می‌شود.

شکل 8- بررسی نصب با PowerShell

سوالات متداول
آیا این آسیب‌پذیری روی کلاینت‌ها هم تاثیری دارد؟
خیر، این آسیب‌پذیری فقط مربوط به سرور DC است.

نسخه الکترونیکی گزارش فوق :

دریافت
حجم: 1.28 مگابایت
 

تا آسیب‌پذیری جدید بدرود!