اطلاعیه در خصوص حملات سایبری اخیر

اطلاعیه در خصوص حملات سایبری اخیر



چهارشنبه 23 مهرماه 1399

روز گذشته اخبار زیادی در خصوص یک حمله سایبری در قالب یک باج افزار در فضای مجازی منتشر شد. این خبر باعث نگرانی بسیار از ادمین های شبکه گردید.
در همین راستا موارد زیر جهت استفاده و بهره برداری همکاران به اطلاع میرساند:

۱. هدف این حمله سرورهای ویندوزی می باشد.
۲. طبق اطلاعیه اخیر مرکز ماهر (https://cert.ir/news/13122) بررسی های صورت گرفته این حمله یک حمله سراسری نبوده است و نیازی به این سطح از هشدار نبوده است.
۳. متن های منتشر شده بیشتر توسط خود ادارات و مراکز به عنوان موارد پیشگیری اعلام و اطلاع رسانی شده است.

موارد فنی مربوط به حمله اخیر:
گمانه زنی های زیادی در خصوص منشا این حمله انجام شده است. به نظر میرسد این باج افزار از دو آسیب پذیری مایکروسافت استفاده کرده است. آسیب پذیری CVE-2020-1472
مربوط به دوماه پیش است که وصله ان منتشر شده است و دیگری - CVE-2020-16898- مربوط به روزگذشته است که هنوز وصله ای توسط مایکروسافت به صورت کامل منتشر نشده است.

برای دریافت وصله امنیتی منتشر شده مربوط به اسیب پذیری CVE-2020-1472 از لینک زیر جهت دریافت و نصب روی کلیه ویندوزها اقدام کنید.

(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472)

این آسیب پذیری با استفاده از سرویس netlogin ویندوز دسترسی کامل از سرور اکتیو دایرکتوری را برای مهاجم فراهم میکند. چنانچه علاقمند به جزییات فنی این موضوع هستید
به لینک زیر مراجعه کنید:

https://www.tenable.com/blog/cve-2020-1472-zerologon-vulnerability-in-netlogon-could-allow-attackers-to-hijack-windows

در اسیب پذیری که دیروز کشف شده است مهاجم از طریق استک TCP/IP و ارسال بسته ICMPv6 Router Advertisement میتواند یک برنامه را روی سیستم کلاینت اجرا کند!
بنابراین اگر امکان بروزرسانی ویندوز را ندارید لازم است با استفاده از روش های زیر سرویس ICMPv6 RDNSS غیرفعال شود. این روش زیر فقط برای ویندوزهای 1709 به بعد قابل استفاده میباشد.

در powershell دستور زیر را اجرا کنید. دقت کنید که به جای INTERFACENUMBER باید شماره کارت شبکه خود را وارد کنید. برای مشاهده لیست کارتهای شبکه و شماره هر کارت
از دستور route print استفاده کنید. این دستور در انتهای خروجی خود id‌ مربوط به هر کارت شبکه را نشان خواهد داد.

  netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable 

توجه: بعد از اجرای دستور فوق نیازی به ریبوت کردن ویندوز نیست!

در پایان باز هم تاکید میکنیم که بهترین راه کار برای ایمن شدن از این حملات دو نکته کلیدی است: اول تهیه نسخه پشتیبان از داده های مهم و دوم تغییر پالیسی های داخل/خارج سازمان براساس حداقل دسترسی ZTN

 

همراهتان هستیم