info[at]nsec.ir
(+98)-31-33915336

منتظر یک واناکرای دیگر باشیم؟!

خلاصه: با گذشت دو هفته از به‌روز‌رسانی ماهانه مایکروسافت و وصله نمودن آسیب‌پذیری حیاتی BlueKeep هنوز نزدیک به یک میلیون ماشین آسیب‌پذیر روی اینترنت در دسترس قرار دارند. مایکروسافت برای بار دوم هشدار داده که این وصله‌ها را برای جلوگیری از خطرات هرچه زودتر نصب نمایید.

 

 

با اینکه به‌روز‌رسانی مایکروسافت بیش از دو هفته پیش منتشر شد، هنوز یک میلیون سیستم که از روی اینترنت در دسترس هستند این به‌روزرسانی را نصب ننموده و به آسیب‌پذیری حیاتی پروتکل RDP آسیب‌پذیر هستند. مایکروسافت برای دومین بار هشدار نصب وصله این آسیب‌پذیری را که امکان اجرای کد از راه دور را فراهم می‌نماید منتشر نمود.

هکرها می‌توانند با سو استفاده از این آسیب‌پذیری به سادگی اتفاقات وحشتناکی خطرناک‌تر و مخرب‌تر از واناکرای و NotPetya را رقم بزنند.

این آسیب‌پذیری که با نام BlueKeep شناخته شده و شناسه بین‌المللی آن CVE-2019-0708 است ویندوز‌های 2003، XP، 7 و ویندوز سرور‌های 2008 و 2008 R2 نسبت به این ضعف امنیتی آسیب‌پذیر هستند.

این آسیب‌پذیری به مهاجم از راه دور و احراز هویت نشده امکان اجرای کد و به دست گرفتن کامل کنترل کامپیوتر هدف، تنها با ارسال یک درخواست دستکاری شده به سرویس اتصال به سیستم از راه دور (RDS) با پروتکل RDP و بدون نیاز هیچ عملی از سوی کاربر را می‌دهد.

آسیب‌پذیری BlueKeep قابلیت توزیع به صورت کرم را دارد و می‌تواند مانند واناکرای به صورت خودکار توزیع شود. مایکروسافت در به‌روزرسانی‌های ماه مه این آسیب‌پذیری را وصله نموده است.

با این حال با بررسی‌های کارشناسان مشخص شده است که نزدیک به یک میلیون دستگاه آسیبپذیر هنوز در سطح اینترنت وجود دارند و می‌توانند مورد بهره‌برداری قرار گیرند.

این بدین معنی است که بسیاری از سازمان‌ها و افراد با اینکه هشدار چندباره در مورد این آسیب‌پذیری منتشر شده است، هنوز وصله‌های آن را نصب ننموده‌اند و خود و سازمان مربوطه را در خطر حملات مخرب قرار داده‌اند.

خطر آسیب‌پذیری BlueKeep و توانایی آن در انجام یک فاجعه به حدی بوده است که مایکروسافت را مجبور به انتشار وصله‌هایی برای نسخه‌های ویندوز که پشتیبانی از آن‌ها را پایان داده است، مانند ویندوز XP، ویستا و ویندوز سرور 2003 نموده است.

خوشبختانه تاکنون هیچ محقق امنیتی اقدام به انتشار کد اثبات این آسیب‌پذیری ننموده است و تنها برخی بیان نموده‌اند که اکسپلویت این آسیب‌پذیری را توسعه داده‌اند.

همه مراجع امنیت سایبری تلاش نموده‌اند تا هشدارهای لازم در مورد این آسیب‌پذیری را منتشر سازند؛ پس اگر هنوز وصله‌های رفع این آسیب‌پذیری را نصب ننموده‌اید، هرچه سریع‌تر و قبل از هر کاری اقدام به به‌روز‌رسانی و نصب این وصله‌ها نمایید.

اگر سازمان شما امکان نصب وصله‌ها را ندارد سرویس RDP را در صورت عدم نیاز غیرفعال نموده و دسترسی‌ها به پورت 3398 را روی فایروال محدود نمایید. همچنین احراز هویت سطح شبکه (NLA) را به منظور جلوگیری از سو استفاده مهاجم احراز اصالت نشده از این آسیب‌پذیری فعال نمایید.

یکی از مشکلات سازمان‌ها در مقابله با این آسیب‌پذیری‌ها، دشواری به‌روز‌رسانی همه سیستم‌های سازمان و عدم توجه کارمندان به ضرورت این به‌روز‌رسانی‌ها است. استفاده از سامانه‌های مدیریت وصله می‌تواند راهکار مناسبی برای به‌روز نگه داشتن سیستم‌های سازمان و مقابله با تهدیدات ناشی از عدم به‌روز‌رسانی است.