.

آسیب‌پذیری افزایش دسترسی در پروتکل Netlogon

1399/6/26 چهارشنبه
روش شناسایی عملی برای تشخیص این آسیب‌پذیری وجود ندارد و شناسایی سیستم‌های آسیب‌پذیر تنها بر اساس CPE صورت می‌گیرد.

شناسه و شدت آسیب‌پذیری
CVE-2020-1472

شدت آسیب‌پذیری (بر اساس CVSS 3.1)

بحرانی: امتیاز 10 از 10

کلیات

این آسیب‌پذیری که با نام Zerologon شناخته می‌شود، به مهاجم امکان می‌دهد با استفاده از پروتکل راه دور Netlogon (MS-NRPC)، اتصال کانال آسیب‌پذیر Netlogon را به یک کنترل کننده دامنه (DC) برقرار کند. مهاجم با بهره‌برداری از این آسیب‌پذیری می‌تواند اعمال زیر را انجام دهد:

  • یک برنامه خاص مخرب را روی یک دستگاه موجود در شبکه اجرا کند.
  • هویت هر دستگاه موجود در شبکه را در هنگام احرازهویت در کنترل کننده دامنه جعل کند.
  • ویژگی‌های امنیتی را در فرآیند احرازهویت Netlogon دور بزند.
  • رمزعبور یک سیستم موجود در Active Directory مربوط به کنترل کننده دامنه را تغییر دهد.
  • همچنین می‌تواند خود را به جای کنترل کننده دامنه جعل کرده و رمزعبور آن را تغییر دهد، در نتیجه می‌تواند کل شبکه سازمان را تحت کنترل گیرد.

سامانه‌ها/خدمات تحت تأثیر

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)

روش بهره‌برداری

جهت بهره‌برداری از این آسیب‌پذیری مهاجم غیرمجاز ملزم به استفاده از MS-NRPC، جهت اتصال به یک کنترل کننده دامنه و سپس به دست آوردن دسترسی‌های مدیر سیستم است. کد اکسپلویت این آسیب‌پذیری در لینک‌ زیر موجود است:

https://github.com/dirkjanm/CVE-2020-1472

روش شناسایی

روش شناسایی عملی برای تشخیص این آسیب‌پذیری وجود ندارد و شناسایی سیستم‌های آسیب‌پذیر تنها بر اساس CPE صورت می‌گیرد.

روش‌های کاهش/ رفع

روش‌های کاهش:

  • نصب به‌روزرسانی‌ها روی کلیه کنترل کننده‌های دامنه عادی و کنترل کننده‌های دامنه read-only
  • نظارت بر رخدادهای جدید
  • وصله کردن دستگاه‌های ناسازگار که از کانال آسیب‌پذیر Netlogon استفاده می‌کنند.

روش‌های رفع:

به کاربران توصیه می‌شود به‌روزرسانی‌های امنیتی منتشر شده را اعمال نمایند.

منابع و مراجع

[1]

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

[2]

https://nvd.nist.gov/vuln/detail/CVE-2020-1472

[3]

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472

[4]

https://github.com/dirkjanm/CVE-2020-1472

[5]

https://us-cert.cisa.gov/ncas/current-activity/2020/09/14/exploit-netlogon-remote-protocol-vulnerability-cve-2020-1472

[6]

https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

[7]

https://blog.rapid7.com/2020/09/14/cve-2020-1472-zerologon-critical-privilege-escalation/

منبع :


نسخه قابل چاپ
بيشتر
درگاه ها و پورتال ها ی معتبر
.
آخرین رویدادها