نحوه تست آسیب پذیری Zerologon سرورهای اکتیو دایرکتوری

با توجه به حملات گسترده باج افزاری (مانند Ryuk) و نشت اطلاعات سازمانهای کشور با استفاده از آسیب پذیری CVE-2020-1472، مدیران امنیت شبکه می توانند با استفاده از ابزار زیر اقدام به تست آسیب پذیری سرورهای کنترل کننده دامنه Active Directory نمایند.

نکات:

- تمامی نسخه‌های ویندوز سرور از 2008 تا 2019 آسیب‌پذیر هستند.

- به علت عدم امکان بستن پورت کنترلر دامنه به علت استفاده برای ارتباط کلاینت و شبکه و نیز آسیب پذیری در پروتکل MS-NRPC، به سرعت قابل وصله کردن نیست. فعلا مایکروسافت یک وصله فوری ارائه داده که هرچند محافظت 100 درصدی ارائه نمی دهد اما تا حد بالایی مانع آسیب پذیری می گردد. 

- ممکن است نصب وصله امنیتی مایکروسافت ممکن است اختلالاتی در عملکرد ارتباطی دامنه ایجاد نماید.

- مهاجم می تواند با سوء استفاده از این آسیب‌پذیری کنترل سیستم قربانی را در دست بگیرد.

- با نصب این وصله بر روی سرورهای اکتیو دایرکتوری، پروتکل به اشتراک گذاری فایلها SAMBA وصله می شود.

- دستگاهها NAS دارای LDAP NAS نیز نیاز به بروزرسانی میان افزار (Firmware) خود دارند.

پیشگیری و مقابله:

- ماژول ضد بد افزار و هوش مصنوعی و ضد باج افزار اندپوینت سکیوریتی و آنتی ویروس K7، Seqrite و نیز ماژول پیشگیری از نفوذ غیرمجاز IDS/IPS سامانه مدیریت یکپارچه تهدیدات و فایروال Seqrite و WebRoam قادر به شناسایی و مقابله با این تهدیدات می باشند. از بروز بودن تجهیزات خود در کنار نصب وصله مایکروسافت مطمئن گردید.

- استفاده از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حساب‌های کاربری محلی (Local) تحت دامنه (Domain) سیستم عامل و پایگاه‌های داده، به ویژه حساب‌های با سطح دسترسی Administrator/SysAdmin

- کاهش سطح دسترسی کاربران

- از دسترس خارج کردن سرویس‌های مهم نظیر MS-SQL و Domain Controller در بستر اینترنت

- غیرفعال کردن پورت ریموت دسکتاپ RDP و یا حداقل تغییر پورت پیش‌فرض 

- اطمینان از نصب بودن وصله های امنیتی بر روی تمامی کلاینت ها و سرورها

- ارتقای سیستم‌های عامل های قدیمی

دانلود به بروزرسانی ویندوز سرور:

https://yun.ir/c2pkg8

اطلاعات بیشتر:

yun.ir/sk0xe2

بررسی آسیب پذیر بودن سرور:

1. دانلود فایل از لینک زیر:

http://qhi.ir/downloads/Tools/Others/zerotest.zip

2. غیرفعال کردن آنتی ویروس بر روی کلاینت

3. خارج کردن از حالت فشرده.

4. اجرای Powershell به صورت ادمین

5. اجرای دستور:

.\zerologon_tester.ps1

در صورتی که متن زیر دریافت شد، نشان می دهد که سرور در معرض خطر بوده و نیاز به وصله دارد:

Success! DC can be fully compromised by a Zerologon attack.