اعلام آسیب‌پذیری‌های جدید سرور ویندوزی

شرکت مایکروسافت اخیراً اعلام کرده که یک سری آسیب‌پذیری جدید روی سرورهای ویندوزی کشف شده است. در این مواقع، مهم‌ترین کاری که شما برای امنیت سایبری خود می‌توانید انجام دهید، به‌روزرسانی نرم‌افزار است!

در مقالۀ امروز طاها ‌سرور، آسیب‌پذیری‌های جدید سرورهای ویندوزی را بررسی کرده و برای جلوگیری از بروز مشکلات احتمالی و دور ماندن از خطرات سایبری، راه‌حل‌هایی را ارائه می‌کنیم.

همراه ما باشید.

آسیب‌پذیری Zerologon Windows

این آسیب‌پذیری توسط شرکت Secura بر روی Domain Controller سرورهای ویندوزی شناسایی شده است و دارای امتیاز CVSS 10 (بالاترین امتیاز ممکن) است. استفاده از این آسیب‌پذیری از راه دور ممکن بوده و نیاز به هیچ‌گونه احراز هویت ندارد. در ضمن این آسیب‌پذیری، بر روی تمامی نسخه‌های ویندوز سرور از نسخه ۲۰۰۸ R2 تا ۲۰۱۹ شناسایی شده است.

مهاجم با استفاده از این باگ می‌تواند به سطح دسترسی Domain Admin دست پیدا کند. این آسیب‌پذیری بر اثر ضعف در کانال امن ارتباطی Netlogon و Domain Controller به وجود آمده است.

از طریق این آلودگی، هکر می‌تواند بر روی سرور شما ransomware تزریق کرده و تمامی داده‌های شما را رمزگذاری (encrypt) کند. به این صورت سرور شما از دسترس خارج می‌شود.

تنها راه حل بازگشت، نصب مجدد است که آن هم در صورت عدم وجود بکاپ از اطلاعات سرور، کارساز نیست و تمامی اطلاعات شما از دست می‌روند.

شناسایی آسیب‌پذیری Zerologon Windows

برای شناسایی آسیب‌پذیر بودن سیستم می‌توانید فایل پایتونی که توسط Secura انتشار پیدا کرده و در گیت هاب موجود است را دانلود کنید. با اجرای آن بر روی یک سرور لینوکسی از آسیب پذیر بودن سرور خود مطلع می‌شوید.

برای دانلود و نصب این فایل به آدرس زیر بروید ????

https://github.com/mudachyo/ZeroLogon-tester

سپس این فرمان‌ها را تایپ کنید تا عملیات تست سرور و شبکه شروع شود ????

Python3 zerologon_tester.py DC_NetBios_Name DC_IP_Address

دقت کنید که به‌جای DC_NetBios_Name باید نام Domain Controller خود و به‌جای IP_Address باید آی‌پی Domain Controller خود را قرار دهید. مثلاً:

Python3 zerologon_tester.pyTEST-DC 1.2.3.4

رفع آسیب‌پذیری Zerologon Windows

برای رفع این آسیب‌پذیری باید اقدامات زیر را حتما انجام دهید:

1. به‌روزرسانی سیستم عامل
2. اطمینان از فعال بودن فایروال سرور
3. آپدیت آنتی ویروس و در صورت عدم نصب، نصب و فعال سازی آنتی ویروس
4. محدود کردن IP، در صورت استفاده از ESX

نکته: قبل از Reboot کردن سرور، حتما از اطلاعات سرور بکاپ داشته باشید؛ زیرا ممکن است سرور شما آلوده شده و بعد از ریبوت دیگر امکان ورود به سرور برای شما مقدور نباشد.

آسیب‌پذیری CVE-2020-16898

این آسیب‌پذیری به دلیل ضعف در Windows TCP/IP stack به وجود آمده و هکر می‌تواند از طریق Icmpv6 یک بسته جعلی به سیستم قربانی ارسال کرده و از همین طریق، دسترسی اجرای کد از راه دور، یا به عبارت دیگر RCE را بدست آورد.

هکر به این طریق می‌تواند هرگونه اقدام مخربی بر روی سرور شما اعم از حذف اطلاعات، رمزنگاری اطلاعات و… را انجام دهد.

این آسیب‌پذیری بر روی تمامی نسخه‌های ویندوز ۱۰ و ویندوز سرور نسخه‌های ۱۹۰۳، ۱۹۰۹، ۲۰۰۴ و ویندوز سرور ۲۰۱۹ نیز وجود دارد.

رفع آسیب‌پذیری CVE-2020-16898

تنها راه حل رفع این آسیب‌پذیری، به‌روزرسانی سیستم عامل است و در صورتی که به‌روزرسانی با موفقیت انجام نشد، می‌توانید کد زیر را از طریق power shell بر روی سرور اجرا کنید:

؛netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable؛