ماه گذشته مایکروسافت یکی از شدیدترین آسیب‌پذیری‌های ویندوز موسوم به Zerologon را به طور موقت وصله کرد. اکنون محققان شرکت سکیورا (Secura) جزئیات این آسیب‌پذیری را منتشر کرده‌اند.

این آسیب‌پذیری دارای شناسه CVE-2020-1472 است و درجه حساسیت CVSSv3 که به آن اختصاص داده شده 10 از 10 است. با استفاده از این آسیب‌پذیری می‌توان ویندوز سرورهایی که به عنوان کنترلر دامین فعالیت می‌کنند را تحت کنترل گرفت. در به‌روزرسانی ماهانه آگوست 2020 برای این آسیب‌پذیری یک وصله اولیه منتشر شد. این آسیب‌پذیری از نوع ارتقاء دسترسی روی پروتکل Netlogon است، یعنی پروتکلی که کاربران را برای کنترلر دامین احراز هویت می‌کند.

اکنون تیمی تحقیقاتی از شرکت هلندی سکیورا جزئیات این آسیب‌پذیری را در یک پست وبلاگی تشریح کرده‌اند. آن‌ها این آسیب‌پذیری را Zerologon نام‌گذاری کرده‌اند. علت نام‌گذاری این آسیب‌پذیری به Zerologon این است که حمله با افزودن کاراکترهای صفر در پارامترهای خاصی از Netlogon انجام می‌شود. Zerologon از یک الگوریتم رمزنگاری ضعیف در فرایند احراز هویت Netlogon نشئت می‌گیرد. این آسیب‌پذیری به مهاجم اجازه می‌دهد که فرایند احراز هویت Netlogon را دست‌کاری کند و:

• هنگام احراز هویت در کنترلر دامین، خود را به جای هر کدام از کامپیوترهای شبکه جا بزند
• ویژگی‌های امنیتی فرایند احراز هویت Netlogon را غیرفعال کند
• گذرواژه حساب‌های کاربری را در اکتیو دایرکتوری (پایگاه داده‌ای از کامپیوترهای متصل به دامین و گذرواژه آن‌ها) تغییر دهد.

حمله سه ثانیه‌ای

این حمله بسیار سریع است و حدوداً به سه ثانیه زمان نیاز دارد. به علاوه مهاجم می‌تواند با این حمله تقریباً هر کاری بکند، مثلاً می‌تواند خود را به جای کنترلر دامین معرفی کند، گذرواژه آن را تغییر دهد و کل شبکه را در دست بگیرد.

این حمله را نمی‌توان از خارج شبکه اجرا کرد، اما اگر هکر بتواند راهی به داخل شبکه بیابد، کار سختی نخواهد داشت. به گفته تیم سکیورا «این حمله پیامدهای بزرگی دارد. اصولاً این حمله به مهاجم درون شبکه محلی (مثل فرد بدخواهی از افراد داخل سازمان یا کسی که دستگاهش را به یکی از پورت‌های شبکه وصل کرده) اجازه می‌دهد دامین ویندوز را کاملاً تحت کنترل بگیرد.»

این آسیب‌پذیری مورد علاقه گروه‌های بدافزاری و باج افزاری خواهد بود؛ زیرا این گروه‌ها معمولاً یک کامپیوتر را درون سازمان آلوده کرده و سپس کاربران زیادی را درگیر می‌کنند. با توجه به اثرات گسترده این آسیب‌پذیری و فوایدی که برای هکرها دارد، ظهور حملات Zerologon بسیار محتمل خواهد بود.

مایکروسافت رفع آسیب‌پذیری را به دو فاز تقسیم کرده است. در فاز اول که ماه گذشته انجام گرفت، یک وصله موقتی منتشر شده بود که ویژگی‌های امنیتی را برای همه احراز هویت‌های Netlogon اجباری می‌کرد. همان طور که گفتیم، حمله Zerologon ویژگی‌های امنیتی را غیرفعال می‌کند؛ بنابراین، اجباری کردن این ویژگی‌ها می‌تواند مانع حمله شود؛ اما از آنجا که ممکن است مهاجمین راهی برای دور زدن این وصله پیدا کنند، قرار است در فاز دوم وصله کاملی ارائه شود که زمان انتشار آن آگوست 2021 خواهد بود.

سکیورا یک کد پایتون منتشر کرده که با استفاده از آن می‌تواند آسیب‌پذیر بودن کنترلر دامین خود را بررسی کنید. ساعاتی پس از انتشار گزارش سکیورا نیز، یک متخصص امنیت کد اثبات مفهوم آسیب‌پذیری را در گیت‌هاب منتشر کرد. در نتیجه اکنون احتمال سوء استفاده از این آسیب‌پذیری بالاتر رفته است.