استفاده گسترده از آسیب‌پذیری بحرانی ویندوز در حملات هکری

خلاصه: مایکروسافت بیش از دو ماه پیش آسیب‌پذیری بحرانی Zerologon را وصله نمود. علی‌رغم انتشار وصله این آسیب‌پذیری، بسیاری از گروه‌های هکری از این آسیب‌پذیری برای اجرای حملات خود بهره می‌برند.

مایکروسافت در مورد سو‌استفاده هکرها از کد اکسپلویت آسیب‌پذیری ZeroLogon در حملات خود هشدار داده است. این هشدار اولین بار در ماه گذشته، در نیمه سپتامبر، پس از آن منتشر شد که مشخص شد برخی گروه‌های هکری از این آسیب‌پذیری در حملات خود استفاده می‌نمایند.

اکنون مشخص شده است غیر از گروه هکری Muddy Water گروه هکری TA505 که سابقه توزیع تروجان بانکی Dridex را در سال 2014 دارد از این آسیب‌پذیری سو‌استفاده می‌نماید.

گروه هکری TA505 در سال‌های گذشته از بدافزارهای زیادی علیه قربانیان خود استفاده نموده‌اند. فعالیت اخیر آن‌ها توزیع باج‌افزار  Clop است. همان باج‌افزاری که دانشگاه ماستریخت هلند را مجبور به پرداخت باج ۲۲۰ هزار دلاری در قالب ۳۰ بیت‌کوین نمود.

مایکروسافت در گزارش خود می‌گوید که TA505 که با نام Chimborazo نیز شناخته می‌شود با استفاده از یک کمپین به‌روز‌رسانی جعلی قربانیان خود را آلوده می‌نماید و آن‌ها را مجبور به اتصال به سرور کنترل و فرمان (C&C) خود می‌نماید.

هدف این به‌روز‌رسانی جعلی اعطای دسترسی سطح بالا با دور زدن کنترل حساب کاربر روی سیستم‌های قربانی و اجرای اسکریپت‌های بدخواهانه است.

کار بعدی TA505 استفاده از هاست اسکریپت ویندوز (WScript.Exe) است که اجازه اجرای اسکریپت‌ها در زبان‌های مختلفی همچون VBScript، پایتون، روبی، PhP، جاوا‌اسکریپت و پرل را فراهم می‌کند.

در مرحله بعد مهاجمین نسخه‌ای از ابزار هک Mimikatz را با استفاده از موتور ساخت مایکروسافت (MSBuild.Exe)، که برای ساخت برنامه‌ها است، کامپایل می‌نمایند.

نسخه Mimikatz که مورد استفاده قرار می‌گیرد شامل اکسپلویت آسیب‌پذیری ZeroLogon است که با شناسه CVE-2020-1472 شناخته می‌شود. در طول ماه گذشته بسیاری از کارشناسان امنیتی اکسپلویت‌های اثبات این آسیب‌پذیری را منتشر نموده‌اند.

در واقع گزارش مایکروسافت یک حمله تصاحب دامنه کلاسیک است و آسیب‌پذیری ZeroLogon یک ابزار مناسب برای این حمله است. این آسیب‌پذیری دسترسی مستقیم به کنترل کننده دامنه را فراهم می‌نماید و مهاجم نیاز ندارد که وقت زیادی برای به دست آوردن مشخصات ورود به حساب مدیر دامنه صرف نماید.

با توجه به اینکه گروه هکری TA505 سابقه درخواست باج‌های سنگین را دارد، شرکت‌ها و سازمان‌ها باید برطرف نمودن این آسیب‌پذیری را جزو اولویت‌های خود قرار دهند. باید به این نکته توجه داشت که این تنها یک حمله با استفاده از این آسیب‌پذیری است و حملات زیادی با کمک این آسیب‌پذیری در حال انجام بوده و یا انجام خواهند شد.

سطح خطر آسیب‌پذیری ZeroLogon بالاترین حد ممکن یعنی ۱۰ از ۱۰ بوده و این مساله نشان دهنده اهمیت این آسیب‌پذیری و ضرورت نصب وصله‌های این آسیب‌پذیری در اولین فرصت است. همچنین با توجه به کد‌های اکسپلویتی که برای این آسیب‌پذیری از ماه گذشته منتشر شده است، استفاده از آن به سرعت در حال افزایش است و گروه‌های هکری زیادی این آسیب‌پذیری را به ابزار‌های خود افزوده‌اند.

آژانس امنیت سایبری و زیرساختی امریکا (CISA) در ۱۸ سپتامبر نیز یک هشدار برای سازمان‌ها منتشر نموده و اعلام نموده که این آسیب‌پذیری را هرچه زودتر برطرف نمایند. مایکروسافت نیز اولین هشدار خود را در 23 سپتامبر در مورد استفاده از آسیب‌پذیری ZeroLogon در حملات هکری منتشر کرد.

مساله‌ای که روشن است این است که آسیب‌پذیری ZeroLogon  در حال گسترش در بین گروه‌های هکری است و انتشار اکسپلویت‌های سو‌استفاده از این آسیب‌پذیری سو‌استفاده از این آسیب‌پذیری را ساده‌تر می‌نماید. پس اگر سیستم‌های خود را به‌روز ننموده‌اید و این آسیب‌پذیری روی سیستم‌های شما وجود دارد باید منتظر یک حمله هکری روی سیستم‌های خود باشید.