info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

خطر هک برای همه نسخه‌های ویندوز! آسیب‌پذیری بحرانی پروتکل ارتباط از راه دور ویندوز

خلاصه: یک آسیب‌پذیری بحرانی روی پروتکل ارایه دهنده گواهی‌نامه امنیتی به نام CredSSP وجود دارد که همه نسخه‌های ویندوز را تحت تاثیر قرار می‌دهد. این آسیب‌پذیری به هکر‌ها اجازه می‌دهد که از پروتکل‌های ارتباط از راه دور محبوب RDP و WinRM سو استفاده نموده و اقدام به سرقت اطلاعات و اجرای کد مخرب روی کامپیوتر قربانی نمایند. مایکروسافت در به‌روز‌رسانی جدید خود این آسیب‌پذیری را وصله نموده است.

 

پروتکل CredSSP برای استفاده پروتکل‌های از راه دور RDP و WinRM طراحی شده است. پروتکل‌های محبوب RDP و WinRM برای ارتباط از راه دور با سیستم مورد استفاده قرار می‌گیرند و وظیفه پروتکل CredSSP مواظبت از انتقال امن گواهی‌نامه‌ها به صورت امن و رمز شده بین سیستم کاربر و سرور و یا سیستمی که از راه دور به آن متصل می‌شود است.

محققین شرکت Preempt Security آسیب‌پذیری را روی این پروتکل کشف نموده‌اند که با شناسه بین‌المللی CVE-2018-0886 شناخته می‌شود. این آسیب‌پذیری یک ضعف منطقی رمزنگاری در CredSSP است که به هکری با داشتن دسترسی به شبکه به صورت وای‌فای یا فیزیکی امکان حمله مرد میانی و دزدیدن جلسه احراز هویت داده را می‌دهد و هکر امکان حمله از راه دور را پیدا می‌کند. در واقع زمانی که کاربر از طریق پروتکل‌های RDP و یا WinRM اقدام به احراز هویت برای اتصال از راه دور می‌کند، هکر با اجرای حمله مرد میانی، امکان اجرای دستورات از راه دور برای دسترسی پیدا کردن به شبکه‌های مقصد ارتباط را پیدا می‌کند.

از آنجایی که پروتکل RDP یکی از محبوب‌ترین پروتکل‌های ارتباط از راه دور است و بسیاری از متخصصین حوزه فناوری اطلاعات از این پروتکل استفاده می‌کنند، آسیب‌پذیری روی این پروتکل پر استفاده شبکه‌های بسیار زیادی را تهدید می‌کند.

مساله جالب این است که متخصصین شرکت Preempt Security بیش از هفت ماه پیش، در ماه آگوست سال ۲۰۱۷، این آسیب‌پذیری را کشف نموده و به مایکروسافت اطلاع داده‌اند؛ اما این غول تکنولوژی اکنون بعد از ۷ ماه برای این آسیب‌پذیری حیاتی وصله منتشر نموده است!

از آنجایی که این آسیب‌پذیری می‌تواند تهدیدات زیادی برای شبکه‌ها داشته باشد، به مدیران فناوری اطلاعات سازمان‌ها، شرکت‌ها و کاربران توصیه می‌شود که هرچه زودتر ویندوز‌های خود را به روز نمایند و یا وصله مربوط به رفع این آسیب‌پذیری را نصب نمایند.

بلاک کردن پروتکل‌های مرتبط با این آسیب‌پذیری مانند RDP و DCE/RPC نیز ممکن است جلوی سو استفاده از این آسیب‌پذیری را بگیرد؛ اما کارشناسان معتقدند این حمله می‌تواند روی پروتکل‌های دیگری هم انجام شود.

توصیه به کارشناسان و مدیران فناوری اطلاعات این است که برای حفاظت بهتر از شبکه خود، تا حدی که ممکن است دسترسی‌ها را به شبکه خود محدود کنند و همچنین از دادن دسترسی‌های غیر ضروری به حساب‌های کاربری افراد اجتناب نمایند.