في سبتمبر الماضي، قامت الوكالة الأمريكية للأمن السيبراني وأمن البنية التحتية (CISA)، التي نادرًا ما تصدر توجيهات عن نقاط ضعف معينة، بتوجيه الوكالات الحكومية التي تستخدم دليل Microsoft Windows النشط في شبكاتها إلى تصحيح كل وحدات تحكم النطاق على الفور. وقد تعلق الأمر بنقطة الضعف CVE-2020-1472 في بروتوكول Netlogon، الذي يُطلق عليه اسم Zerologon.
10.0 على مقياس الخطر
تأتي نقطة الضعف Zerologon من خوارزمية التشفير غير الموثوقة في آلية مصادقة Netlogon. وتسمح للمتطفل المتصل بشبكة الشركة أو الذي أصاب جهاز كمبيوتر بمهاجمة وحدة تحكم النطاق، والتحكم فيها.
تسجل نقطة الضعف أقصى قيمة في مقياس CVSSv3، وهي 10.0. وبالرغم من إصدار مايكروسوفت تصحيحًا في أغسطس، إلا أن دراسة متعمقة من شركة الأمن السيبراني الهولندية Secura هي من لفتت الانتباه على نطاق أوسع لـ Zerologon وكيف يمكن استغلاله. وفي غضون ساعات من نشر المستند، بدأ الباحثون في نشر براهين المفهوم (Poc) الخاصة بهم. وفي غضون بضعة أيام، توفرت أربع عينات على الأقل من رموز المصدر المفتوح على GitHub، توضح كيفية استخدام نقطة الضعف بالفعل.
Zerologon في الهجمات الفعلية
لا شك في أن براهين المفهوم المتوفرة للعامة لفتت انتباه ليس خبراء أمن المعلومات فحسب، وإنما مجرمي الإنترنت كذلك – الذين لم يقوموا سوى بقص ولصق الرمز في برامجهم الضارة. ففي أوائل أكتوبر، على سبيل المثال، ذكرت مايكروسوفت محاولات من مجموعة TA505 للاستفادة بـ Zerologon. حيث قام مجرمو الإنترنت بإخفاء البرامج الضارة في شكل تحديثات برمجية وتكوين أدوات هجوم على أجهزة الكمبيوتر المصابة للاستفادة من نقطة الضعف.
قامت مجموعة أخرى، المجموعة التي تقف خلف برنامج الفدية Ryuk، باستخدام Zerologon لإصابة الشبكة المحلية للشركة بالكامل في خمس ساعات فقط. حيث قامت بإرسال بريد إلكتروني قياسي تصيّدي إلى أحد الموظفين، وانتظرت العصابة حتى تم النقر فوقه، ومن ثم تعرض الكمبيوتر للإصابة، ثم استخدمت Zerologon للتنقل خطيًا خلال الشبكة، وتوزيع برامج الفدية القابلة للتنفيذ على كل الخوادم ومحطات العمل.
ما سبب خطورة Zerologon
قد يبدو أن استغلال Zerologon يتطلب الهجوم على وحدة تحكم النطاق من داخل الشبكة المحلية. في الحقيقة، تمكن مجرمو الإنترنت منذ فترة طويلة من التغلب على هذه العقبة باستخدام عدة طرق لاختطاف كمبيوتر في الشبكة. وتتضمن هذه الطرق استخدام التصدي الاحتيالي، وهجمات سلسلة الإمداد، وحتى رافعات الشبكة غير المرغوبة في المناطق المكتبية الخاصة بالزوار. ويأتي الخطر الإضافي من الوصلات البعيدة (التي غالبًا ما تستخدمها كل الشركات في هذه الأيام) – لاسيما إذا تمكن الموظفون من الاتصال بموارد الشركة من أجهزتهم.
المشكلة الرئيسية في Zerologon (ونقاط الضعف الافتراضية الأخرى من هذا النوع) هي أن الاستغلال يبدو كتبادل قياسي للبيانات بين كمبيوتر في الشبكة ووحدة تحكم النطاق؛ ولن تُثار الشكوك إلا بسبب الكثافة غير الاعتيادية في التبادل. لذلك، تمتلك الشركات التي تعتمد على حلول أمن نقطة النهاية فقط فرصًا أقل في اكتشاف هذه الهجمات.
من الأفضل ترك مهمة التعامل مع عيوب هذا النوع للخدمات المتخصصة مثل خدمة الاكتشاف والاستجابة المدارة من كاسبرسكي (MDR). وهي في الحقيقة عبارة عن مركز أمن خارجي يمتلك معرفة عميقة بتكتيكات مجرمي الإنترنت، مما يوفر التوصيات العملية المفصلة للعميل.
يتسم الحل بمستويين: MDR المثالية وMDR الخبيرة. وبمجرد نشر تفاصيل عن Zerologon، بدأ خبراء مركز العمليات الأمنية (SOC) لدى كاسبرسكي في محاولات تتبع للاستفادة من نقطة الضعف في خدمة MDR، لضمان قدرة إصداري خدمة الاكتشاف والاستجابة المدارة من كاسبرسكي على مكافحة هذا التهديد.
تشكل خدمة الاكتشاف والاستجابة المدارة من كاسبرسكي جزءًا من أمن كاسبرسكي المثالي. ولمعرفة المزيد عن الحل، يُرجى زيارة الصفحة Kaspersky MDR.