آسیب‌پذیری ZeroLogon به تنهایی شاید خطرناک‌ترین و فوری‌ترین آسیب‌پذیری سال ۲۰۲۰ است که حتما مدیران شبکه باید در اسرع وقت، نسبت به نصب وصله و رفع آن اقدام نمایند.

آسیب‌پذیری ZeroLogon یا CVE-2020-1472، یک آسیب‌پذیری فوق‌العاده خطرناک در تمامی نسخه‌های ویندوز سرور از 2008 تا 2019 است که دارای حداکثر درجه خطر (CVSS 10/10) می‌باشد. با استفاده از این آسیب‌پذیری، نفوذگر بدون نیاز به هیچگونه اطلاعات هویتی، و تنها با ارسال چند بایت به سرور DC می‌تواند به سادگی دسترسی Domain Admin را به دست آورد.

جزئیات آسیب‌پذیری

برای درک کامل این آسیب‌پذیری ابتدا لازم است تا اندکی در رابطه با پروتکل MS-NRPC توضیح داده شود. این پروتکل یک رابط RPC است که از آن جهت موارد زیر استفاده می‌شود:

  • احراز هویت کاربران دامنه
  • احراز هویت سیستم‌های تحت دامنه
  • ارتباطات بین Domain Controllerهای یک دامنه
  • ارتباطات بین دامین (Forest)
  • انجام انواع عملیات از جمله تغییر پسوردهای سیستم‌های دامنه
  • یافتن و مدیریت این ارتباطات و …

همانگونه که مشخص است امکان بستن یا محدود کردن این پروتکل به دلیل کارکردهای آن وجود ندارد.

آسیب‌پذیری ZeroLogon یا CVE-2020-1472 به دلیل یک نقص در روش پیاده‌سازی الگوریتم AES-CFB8 در پروتکل MS-NRPC حین احراز هویت کاربر رخ می‌دهد. نفوذگر با ارسال تعدادی بسته MS-NRPC که در آن اطلاعات احراز هویتی با ۸ بایت صفر مقدار دهی شده‌اند، این امکان را دارد که بدون در اختیار داشتن اطلاعات کاربری ادمین و یا هرگونه اطلاعات کاربری دیگر، دسترسی خود را به سطح ادمین شبکه تغییر داده و پس از آن اقدام به تغییر رمز DC بکند. الگوریتم AES-CFB8 دارای یک Initial Vector یا IV شانزده-بایتی بوده که اصولا در هر بار استفاده باید با یک مقدار تصادفی پر شود، اما متاسفانه در پروتکل MS-NRPC میکروسافت، مقدار IV همیشه برابر با شانزده بایت صفر در نظر گرفته شده است. این اشکال در رمزنگاری باعث آسیب‌پذیر شدن AES-CFB8 شده و نفوذگر به طور میانگین پس از ۲۵۶ بار ارسال یک بسته حاوی ۸ بایت صفر به عنوان اطلاعات هویتی، به سادگی می‌تواند سرور را دچار خطا کرده و بالاترین سطح دسترسی را از سرور دریافت نماید

نحوه رفع آسیب‌پذیری و نصب وصله

آپدیت: در تاریخ ۲۱ مرداد ۱۳۹۹ از سوی میکروسافت آپدیتی برای این آسیب‌پذیری منتشر شده است. جهت نصب به لینک زیر مراجعه و آپدیت مناسب را از جدول مربوطه دریافت نمایید:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472