حذرت شركة مايكروسوفت من أن الجهات الفاعلة في التهديد تستمر في استغلال الأنظمة غير المصححة والثغرات في امتياز ZeroLogon Windows في بروتوكول Netlogon البعيد (MS-NRPC).
إذ تلقت Microsoft عدداً صغيراً من التقارير من العملاء وغيرهم بشأن استمرار النشاط الخبيث الذي يستغل ثغرة أمنية تؤثر على بروتوكول Netlogon (CVE-2020-1472) والتي تمت معالجتها مسبقاً في التحديثات الأمنية التي ظهرت في 11 أغسطس 2020.
ولكن على أجهزة Windows Server حيث لم يتم تصحيح الثغرة الأمنية، يمكن للمهاجمين انتحال حساب وحدة تحكم المجال لسرقة بيانات اعتماد المجال والسيطرة على المجال بأكمله بعد الاستغلال الناجح.
لذلك يجب على أي شخص لم يقم بتنزيل التحديث الجديد على اتخاذ هذه الخطوة الآن. يحتاج العملاء إلى تطبيق التحديث واتباع الإرشادات الأصلية كما هو موضح في KB4557222 لضمان حمايتهم بالكامل من هذه الثغرة الأمنية.
ثغرة Windows Zerologon
Zerologon هو عيب فادح يمكّن المهاجمين من رفع امتيازاتهم إلى دور مسؤول المجال، مما يسمح لهم بالسيطرة الكاملة على النطاق بأكمله، وتغيير كلمة مرور أي مستخدم، وتنفيذ أي أمر تعسفي.
بدورها، طرحت Microsoft الإصلاح الخاص بـ Zerologon على مرحلتين حيث يمكن أن تتسبب في أن تمر بعض الأجهزة المتأثرة بمشكلات مصادقة باهتة. ونظراً لأن التوثيق الأولي المتعلق بتصحيح البرنامج كان محيراً، فقد أوضحت مايكروسوفت الخطوات التي يتعين على المسؤولين اتخاذها لحماية الأجهزة من الهجمات التي تستهدف ثغرات Zerologon في 29 سبتمبر.
خطة تحديث Zerologon
تتضمن خطة التحديث التي حددتها Microsoft الإجراءات التالية:
– قم بتحديث وحدات تحكم المجال الخاصة بك عبر استخدام إصدار 11 أغسطس 2020 أو ما بعده.
– ابحث عن الأجهزة التي تقوم بإجراء اتصالات ضعيفة من خلال مراقبة سجلات الأحداث.
– استهدف الأجهزة غير المتوافقة التي تُجري اتصالات ضعيفة.
– تشغيل وضع الفرض لمعالجة CVE-2020-1472 في بيئتك.
تجدر الإشارة إلى أن مجموعة القرصنة MuddyWater المدعومة من إيران (المعروفة أيضًا باسم SeedWorm و MERCURY) بدأت في إساءة استخدام الخلل بدءاً من النصف الثاني من شهر سبتمبر.
كما تم رصد TA505 (المعروف أيضًا باسم Chimborazo) أيضاً، وهي مجموعة تهديد ذات دوافع مالية معروفة بتوزيع Dridex Banking Trojan منذ عام 2014، اكتشفتها Microsoft تقوم باستغلال ثغرة ZeroLogon في وقت سابق من هذا الشهر.
