آسیب‌پذیری ZeroLogon در Domain Controller و نحوه رفع آن

1- شروع ماجرا
در روزهای گذشته خبر آسیب‌پذیری با شناسه CVE-2020-1472 و با نام ZeroLogon برای Domain Controller شبکه‌های ویندوزی توسط شرکت secura منتشر شد.
Domain Controller مهم‌ترین سرور در Active Directory است که وظیفه تعریف کاربران، احراز هویت و بسیاری از وظایف دیگر را به عهده دارد. آسیب‌پذیری ZeroLogon‌ که دارای امتیاز CVSS 10 (بالاترین امتیاز ممکن) است که در ویندوزهای سرور از 2008R2 تا 2019 وجود دارد. بهره‌جویی  این آسیب‌پذیری از راه دور قابل انجام است و نیاز به هیچ گونه احراز هویت ندارد. مهاجم به کمک این آسیب‌پذیری می‌تواند به دسترسی Domain Admin هم دست پیدا کند.
این آسیب پذیری در اثر ضعف در کانال امن ارتباطی Netlogon با Domain Controller وجود دارد.
در این گزارش به زبان ساده خطرات این آسیب‌پذیری، نحوه بررسی آسیب‌پذیر بودن سیستم و به روزرسانی آن را شرح خواهیم داد.

2- آسیب‌پذیر‌ی CVE-2020-1472 چه آثار مخربی دارد؟
این آسیب‌پذیری چون به مهاجم دسترسی Domain Admin می‌دهد که دسترسی بسیار بالایی در شبکه‌های ویندوزی است و مهاجم به کمک این دسترسی عملاً می‌تواند علاوه بر سرور DC آسیب پذیر روی تمام سیستم‌های عضو دامنه نیز دسترسی پیدا کند، بسیار مخرب است.

3- آیا سیستم من آسیب‌پذیر است؟
برای بررسی آسیب پذیر بودن یک سیستم، دو روش وجود دارد.
روش اول : به کمک mimikatz
قابلیت تشخیص و بهره‌جویی ZeroLogon از نسخه 2.2.0-20200918 به mimikatz اضافه شده است. ابتدا جدیدترین نسخه mimikatz را از اینجا  دانلود کنید. فایل دانلود شده احتمالاً توسط آنتی ویروس و مرورگر به عنوان فایل مخرب شناسایی می شود، نگران نباشید و آن را اجرا کنید.
در صفحه باز شده دستور زیر را وارد کنید.
lsadump::zerologon /target:dc1.test.local /ntlm /null /account:dc$
اگر خروجی زیر را مشاهده کردید DC شما آسیب پذیر است.
 روش دوم: به کمک اسکریپت پایتون
یک فایل پایتون توسط Secura در گیت هاب  منتشر شده است که برای بررسی یک DC باید این فایل را روی یک سیستم لینوکسی (مثلا کالی لینوکس) به شکل زیر اجرا کنید.
phyton3 zerologon_tester.py DC_ NetBIOS_Name DC_ip_Address
در صورتی که سرور آسیب پذیر باشد پیامی مشابه تصویر زیر مشاهده خواهید کرد.
 
4- نحوه مقابله
برای مقابله با این آسیب‌پذیری باید ویندوز خود را طبق یکی از روش‌های زیر به روز رسانی کنید.
4-1- روش اول - به روزرسانی خودکار (توصیه می شود)
 سیستم خود را به اینترنت متصل کنید و در منوی استارت ویندوز update را تایپ کنید و روی windows update و در صفحه بازشده Check for updates  (شکل 1) کلیک کنید و مدت طولانی منتظر بمانید تا ویندوز شما آپدیت شود و درنهایت سیستم را Restart کنید.
                                    شکل 1- شروع بروزرسانی ویندوز
4-2- روش دوم - به روزرسانی دستی
اگر به هر دلیلی امکان به روزرسانی خودکار برای شما وجود ندارد از این روش استفاده کنید.
ابتدا با نوشتن winver در run یا منو استارت ویندوز نسخه دقیق ویندوز را تعیین کنید. پس از تعیین نسخه دقیق ویندوز به صفحه توضیحات آسیب‌پذیری بروید  و در بخش Security Updates متناسب با نسخه ویندوز خود آپدیت مناسب را انتخاب کنید و با کلیک روی Security Update به صفحه دانلود به روزرسانی بروید.
در صفحه دانلود بازهم متناسب با نسخه ویندوز خود روی دکمه Download کلیک کنید (شکل 2).
           شکل 2- صفحه دانلود آپدیت
در صفحه باز شده روی لینک آپدیت مورد نظر (شکل 3) کلیک کنید تا دانلود فایل آغاز شود.
 شکل 3- لینک دانلود آپدیت
پس از دانلود، فایل دریافتی که با نامی مشابه windows10.0-kbxxx-xxxxxxxxxxxxxx.msu است را اجرا کنید و روی Yes کلیک کنید تا نصب آپدیت آغاز شود. در پایان پیام شکل 4 نمایش داده می‌شود و روی Restart Now کلید کنید تا نصب تکمیل شود.
شکل 4- پایان نصب آپدیت
5- بررسی نصب بودن به روزرسانی
با روش‌های زیر از نصب به روزرسانی اطمینان حاصل کنید.
5-1- روش اول
فایل نصب آپدیت را دوباره اجرا کنید اگر نصب باشد به شما پیام شکل 5 نمایش داده می‌شود 😊.
شکل 5- پیام نصب بودن آپدیت
5-2- روش دوم
برای بررسی نصب بودن به روزرسانی روی یک سیستم update history را در منو استارت ویندوز تایپ کنید و در برگه View update history به دنبال نام آن مثلاً KB4565349 بگردید (شکل 6). توجه داشته باشید که بسته به نسخه ویندوز ممکن است نام به‌روزرسانی متفاوت باشد. مثلاً برای ویندوز 2019 نام به روزرسانی KB4565503 است این نام را در ابتدای نام فایل به روزرسانی دانلود شده می توانید ببینید در جدول 1 نام آپدیت‌ها بر اساس نسخه ویندوز آورده شده است.
 
شکل 6- بررسی نصب آپدیت

جدول 1- جدول نام آپدیت‌ها بر اساس نسخه ویندوز
                                                                                                                                                                                                                                                                        
                        Product                        
               
                                            Article                    
               
                                            Download                    
               
                       
                  Supersedence                    
               
                    Windows Server 2008 R2 for x64-based Systems Service Pack 1                
                                    
                    4571729                                                        Monthly Rollup                                    

                    4565524
               
                    4571719                                                        Security Only                                    
                    Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)                
                                    
                    4571729                                                        Monthly Rollup                                    

                    4565524
               
                    4571719                                                        Security Only                                    
                    Windows Server 2012                
                                    
                    4571736                                                        Monthly Rollup                                    

                    4565537
               
                    4571702                                                        Security Only                                    
                    Windows Server 2012 (Server Core installation)                
                                    
                    4571736                                                        Monthly Rollup                                    

                    4565537
               
                    4571702                                                        Security Only                                    
                    Windows Server 2012 R2                
                                    
                    4571703                                                        Monthly Rollup                                    

                    4565541
               
                    4571723                                                        Security Only                                    
                    Windows Server 2012 R2 (Server Core installation)                
   
                    4571703                                                        Monthly Rollup                                    

                    4565541
               
                    4571723                                                        Security Only                                    
                    Windows Server 2016                
                                    
                    4571694                                                        Security Update                                    

                    4565511
               
                    Windows Server 2016  (Server Core installation)                
                                    
                    4571694                                                        Security Update                                    

                    4565511
               
                    Windows Server 2019                
                                    
                    4565349                                                        Security Update                                    

                    4558998
               
                    Windows Server 2019  (Server Core installation)                
                                    
                    4565349                                                        Security Update                                    

                    4558998
               
                    Windows Server, version 1903 (Server Core installation)                
                                    
                    4565351                                                        Security Update                                    

                    4565483
               
                    Windows Server, version 1909 (Server Core installation)                
                                    
                    4565351                                                        Security Update                                    

                    4565483
               
                    Windows Server, version 2004 (Server Core installation)                
                                    
                    4566782                                                        Security Update                                    

                    4565503
               
                                                                                                                                                                                                                                                                                                      
5-3- روش سوم
در منوی استارت appwiz.cpl را تایپ کنید و آن را اجرا نمایید در سمت چپ روی View installed updates کلیک کنید در این صفحه دنبال آپدیت بگردید، از قسمت جستجوی بالا هم می‌توانید کمک بگیرید (شکل 7).
 
شکل 7-بررسی نصب آپدیت روش دوم
5-4- روش چهارم (حرفه‌ای)
در powershell  دستور Get-HotFix –Id با نام مناسب KB ( طبق جدول 1) را وارد کنید اگر آپدیت نصب شده باشد خروجی باید به شکل 8 باشد وگرنه پیام خطا نمایش داده می‌شود.
 
شکل 8- بررسی نصب با PowerShell
6- سوالات متداول
آیا این آسیب‌پذیری روی کلاینت‌ها هم تاثیری دارد؟
خیر، این آسیب‌پذیری فقط مربوط به سرور DC است.

نسخه الکترونیکی گزارش فوق :
-cve-2020-1472zerologon.pdf [1.28 Mb] ( تعداد دانلود: 25)


تا آسیب‌پذیری جدید بدرود!