کشف دو باگ امنیتی در ویندوز مایکروسافت

یک ابزار اثبات مفهوم اعلام کرد دو باگ اکتیو دایرکتوری ویندوز که ظاهرا دو ماه پیش برطرف شده بودند، اگر به‌صورت زنجیره‌ای استفاده شوند به‌سادگی اجازه تسلط  به دامین ویندوز را می دهند.

آسیب پذیری ویندوز

در یک اعلان رسمی مایکروسافت از سازمان‌ها خواست که هرچه سریع تر  با نصب پچ امنیتی منتشرشده یک جفت آسیب‌پذیری به نام های ۴۲۲۸۷-۲۰۲۱CVE-و ۴۲۲۸۷-۲۰۲۱CVE- را برطرف نمایند.

هردوی این آسیب‌پذیری‌ها به‌عنوان با شدت بالا (۷٫۵ از ۱۰CVSS) معرفی شدند.

مایکروسافت اعلام کرد همان‌گونه همیشه میگوییم در اسرع وقت آخرین پچ کنترل دامین را نصب نمایید.

این آسیب‌پذیری به مهاجمان امکان می‌دهد تا بر مدیریت دامین نسخه‌های فاقد پچ ویندوز به‌سادگی دسترسی پیدا کنند.

مدیر دامین در ویندوز کاربرانی هستند که می‌توانند تنظیمات اکتیو دایرکتوری و محتوای درونی این بخش را تغییر دهند مدیر دامین می‌تواند کاربر تازه تعریف نموده و یا برای دسترسی کاربران قدیمی محدودیت ایجاد نموده و روی مجوزها و احراز هویت ویندوز کنترل داشته باشد.

با ترکیب این دو آسیب‌پذیری مهاجم می‌تواند مسیر مستقیمی به دامین ادمین ایجاد به‌سادگی به‌محض اینکه یک کاربر بر روی دامین حضور پیدا کند بر ادمین تسلط پیدا نماید.

در دسامبر یک ابزار اثبات مفهوم PoC، این آسیب‌پذیری را به‌طور عمومی در شبکه‌های اجتماعی منتشر نمود. یک هفته بعد از انتشارِپچ، چند نفر از محققین امنیت تأیید کردند این آسیب‌پذیری وجود داشته و نفوذ از طریق آن نیز بسیار ساده است.

شرح آسیب پذیری توسط مایکروسافت

مایکروسافت از این اکسپلویت به‌عنوان جعل هویت Same Account Name یاد می‌کند. یک نام ورود به سیستم که برای پشتیبانی از کلاینت‌ها و سرورهای نسخه‌های قبلی ویندوز، مانند Windows NT 4.0، Windows 95، Windows 98 و LAN Manager استفاده می‌شود.

تیم تحقیقاتی مایکروسافت یک راهنمای دقیق برای آگاهی از نشانه‌های بهره‌برداری و شناسایی سرورهای در معرض خطر که دارای سامانه‌های امنیتی با قابلیت ردیابی تغییر نام های غیرعادی هستند منتشر نمود.

تغییر نام ها بسیار به‌ندرت آن‌هم با اعلام به سامانه‌های امنیتی اتفاق می‌افتند این سیستم‌های امنیتی مانند EDR کسپرسکی ابزار امنیتی مبتنی بر سرویس ابری هستند که وظیفه آن‌ها شناسایی تشخیص و ردیابی تهدیدات رده‌بالا است.

یک متخصص امنیت دراین‌باره گفته است اگر نسبت به بهره‌برداری از این حفره امنیتی در سیستم خود شک دارید حتماً راهنمای گام‌به‌گام منتشرشده توسط مایکروسافت را مطالعه نمایید.

برای جلوگیری ازاین‌گونه حملات مرتبط با جعل هویت رعایت موارد زیر ضروری است:

مایکروسافت ۳۶۵ را بازنموده و روی شکار پیشرفته کلیک نموده و مقادیر زیر را کپی نموده و با دامین کنترل موجود جابه‌جا نمایید.

IdentityDirectoryEvents | where Timestamp > ago(1d) | where ActionType == “SAM Account Name changed” | extend FROMSAM parse_json(AdditionalFields)[‘FROM SAM Account Name’] | extend TOSAM = parse_json(AdditionalFields)[‘TO SAM Account Name’] | where (FROMSAM has “$” and TOSAM!has “$”) or TOSAM in (“DC1”, “DC2”, “DC3”, “DC4”) // DC Names in the org | project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields

این query را اجرا کنید و نتایجی را که شامل دستگاه‌های آسیب‌دیده است تجزیه‌وتحلیل کنید. می‌توانید از Windows Event 4741 برای پیدا کردن سازنده این ماشین‌ها، درصورتی‌که به‌تازگی ساخته‌شده‌اند، استفاده کنید.

مطمئن شوید که دستگاه‌ها را با KB های زیر به‌روز کنید

: KB5008102، KB5008380، KB5008602.

مایکروسافت گفت: «تیم تحقیقاتی ما به تلاش خود برای ایجاد راه‌های بیشتر برای شناسایی این آسیب‌پذیری‌ها، چه از طریق پرس‌وجو و یا همکاری‌های خارجی ، ادامه می‌دهد».