🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
اقرأ المزيد
تُعد Zerologon ثغرة خطيرة في تصعيد الامتيازات تؤثر على جميع إصدارات Windows Server بعد اختطاف وحدات التحكم بالمجال (DC) في بيئة Active Directory الخاصة بالمؤسسة. خلل في التشفيرنظام المصادقة المستخدم بواسطة بروتوكول Netlogon البعيد (AES-CFB8) مسؤول عن هذه الثغرة الأمنية المحددة.بروتوكول Netlogon البعيد (NRPC) هو واجهة استدعاء الإجراء البعيد (RPC) المتوفرة على وحدات تحكم مجال Windows. يتم استخدامه للعديد من المهام مثل مصادقة اتصالات المستخدم والجهاز، والأكثر شيوعًا للسماح للمستخدمين بتسجيل الدخول إلى الخوادم باستخدام بروتوكول New Technology LAN Manager (NTLM).لتشغيل هذه الثغرة الأمنية، يتم إرسال العديد من رسائل Netlogon إلى وحدة تحكم المجال، حيث يتم ملء العديد من الحقول بالأصفار. هذا يؤدي إلى الاستحواذ الكامل على وحدة تحكم المجال المستهدفة. لا يحتاج المهاجم حتى إلى بيانات اعتماد المستخدم لبدء الهجوم.[/vc_wp_text] [vc_wp_text]
تحليل التأثير
تقنية
- يمكن للمهاجم تغيير كلمة مرور الكمبيوتر لوحدة التحكم بالمجال، بمجرد إنشاء الوصول.
- يمكن بعد ذلك استخدام هذا للحصول على بيانات اعتماد مسؤول المجال التي تُستخدم لاستعادة كلمة مرور DC الأصلية.
- يسمح Zerologon للمهاجم بتفريغ جميع تجزئات المستخدم في المجال المستهدف، بما في ذلك تجزئة حساب KRBTGT، والذي بدوره يؤدي إلى هجوم Golden Ticket.
الأعمال
- وصول النطاق إلى جميع القطاعات مما يؤدي إلى الاستحواذ الكامل على البنية التحتية للشركة.
- فقدان بيانات العميل الحساسة للأعمال.
- فقدان السمعة والشهرة وأسهم الإيرادات.
- خسائر مالية ضخمة، دعاوى قضائية مترامية الأطراف.
تدابير وقائية
- ال رقعة تم إصداره في أغسطس 2020 بالعناوين CVE-2020-1472.
- يجب أن تقوم وحدات التحكم بالمجال (سواء الاحتياطية أو للقراءة فقط) بتثبيت التصحيحات المذكورة أعلاه.
- نشر وحدة تحكم المجال (DC) وضع الإنفاذ، الأمر الذي يتطلب من جميع الأجهزة التي تعمل بنظام Windows والأجهزة التي لا تعمل بنظام Windows استخدام NRPC الآمن أو السماح بالحساب بشكل صريح عن طريق إضافة استثناء لأي جهاز غير متوافق.
