شرکت مایکروسافت اخیراً اعلام کرده که یک سری آسیبپذیری جدید روی سرورهای ویندوزی کشف شده است. در این مواقع، مهمترین کاری که شما برای امنیت سایبری خود میتوانید انجام دهید، بهروزرسانی نرمافزار است!
در مقالۀ امروز آریانا نت، آسیبپذیریهای جدید سرورهای ویندوزی را بررسی کرده و برای جلوگیری از بروز مشکلات احتمالی و دور ماندن از خطرات سایبری، راهحلهایی را ارائه میکنیم.
همراه ما باشید.
آسیبپذیری Zerologon Windows
این آسیبپذیری توسط شرکت Secura بر روی Domain Controller سرورهای ویندوزی شناسایی شده است و دارای امتیاز CVSS 10 (بالاترین امتیاز ممکن) است. استفاده از این آسیبپذیری از راه دور ممکن بوده و نیاز به هیچگونه احراز هویت ندارد. در ضمن این آسیبپذیری، بر روی تمامی نسخههای ویندوز سرور از نسخه ۲۰۰۸ R2 تا ۲۰۱۹ شناسایی شده است.
مهاجم با استفاده از این باگ میتواند به سطح دسترسی Domain Admin دست پیدا کند. این آسیبپذیری بر اثر ضعف در کانال امن ارتباطی Netlogon و Domain Controller به وجود آمده است.
از طریق این آلودگی، هکر میتواند بر روی سرور شما ransomware تزریق کرده و تمامی دادههای شما را رمزگذاری (encrypt) کند. به این صورت سرور شما از دسترس خارج میشود.
تنها راه حل بازگشت، نصب مجدد است که آن هم در صورت عدم وجود بکاپ از اطلاعات سرور، کارساز نیست و تمامی اطلاعات شما از دست میروند.
شناسایی آسیبپذیری Zerologon Windows
برای شناسایی آسیبپذیر بودن سیستم میتوانید فایل پایتونی که توسط Secura انتشار پیدا کرده و در گیت هاب موجود است را دانلود کنید. با اجرای آن بر روی یک سرور لینوکسی از آسیب پذیر بودن سرور خود مطلع میشوید.
برای دانلود و نصب این فایل به آدرس زیر بروید ????
https://github.com/mudachyo/ZeroLogon-tester
سپس این فرمانها را تایپ کنید تا عملیات تست سرور و شبکه شروع شود ????
Python3 zerologon_tester.py DC_NetBios_Name DC_IP_Address
دقت کنید که بهجای DC_NetBios_Name باید نام Domain Controller خود و بهجای IP_Address باید آیپی Domain Controller خود را قرار دهید. مثلاً:
Python3 zerologon_tester.pyTEST-DC 1.2.3.4
رفع آسیبپذیری Zerologon Windows
برای رفع این آسیبپذیری باید اقدامات زیر را حتما انجام دهید:
- بهروزرسانی سیستم عامل
- اطمینان از فعال بودن فایروال سرور
- آپدیت آنتی ویروس و در صورت عدم نصب، نصب و فعال سازی آنتی ویروس
- محدود کردن IP، در صورت استفاده از ESX
نکته: قبل از Reboot کردن سرور، حتما از اطلاعات سرور بکاپ داشته باشید؛ زیرا ممکن است سرور شما آلوده شده و بعد از ریبوت دیگر امکان ورود به سرور برای شما مقدور نباشد.
آسیبپذیری CVE-2020-16898
این آسیبپذیری به دلیل ضعف در Windows TCP/IP stack به وجود آمده و هکر میتواند از طریق Icmpv6 یک بسته جعلی به سیستم قربانی ارسال کرده و از همین طریق، دسترسی اجرای کد از راه دور، یا به عبارت دیگر RCE را بدست آورد.
هکر به این طریق میتواند هرگونه اقدام مخربی بر روی سرور شما اعم از حذف اطلاعات، رمزنگاری اطلاعات و… را انجام دهد.
این آسیبپذیری بر روی تمامی نسخههای ویندوز ۱۰ و ویندوز سرور نسخههای ۱۹۰۳، ۱۹۰۹، ۲۰۰۴ و ویندوز سرور ۲۰۱۹ نیز وجود دارد.
رفع آسیبپذیری CVE-2020-16898
تنها راه حل رفع این آسیبپذیری، بهروزرسانی سیستم عامل است و در صورتی که بهروزرسانی با موفقیت انجام نشد، میتوانید کد زیر را از طریق power shell بر روی سرور اجرا کنید:
؛netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable؛
هیچ نظری وجود ندارد